Privileged Groups
具有管理权限的知名组
管理员
域管理员
企业管理员
账户操作员
该组有权创建非管理员的账户和组。此外,它还允许本地登录到域控制器 (DC)。
要识别该组的成员,执行以下命令:
添加新用户是被允许的,同时也可以在 DC01 上进行本地登录。
AdminSDHolder 组
AdminSDHolder 组的访问控制列表 (ACL) 是至关重要的,因为它设置了 Active Directory 中所有“受保护组”的权限,包括高权限组。该机制通过防止未经授权的修改来确保这些组的安全性。
攻击者可以通过修改 AdminSDHolder 组的 ACL 来利用这一点,从而授予标准用户完全的权限。这将有效地使该用户对所有受保护组拥有完全控制权。如果该用户的权限被更改或移除,由于系统的设计,他们的权限将在一小时内自动恢复。
审查成员和修改权限的命令包括:
一个脚本可用于加速恢复过程:Invoke-ADSDPropagation.ps1。
有关更多详细信息,请访问 ired.team。
AD 回收站
该组的成员资格允许读取已删除的 Active Directory 对象,这可能会泄露敏感信息:
域控制器访问
对 DC 上文件的访问受到限制,除非用户是 Server Operators
组的一部分,这会改变访问级别。
权限提升
使用 Sysinternals 的 PsService
或 sc
,可以检查和修改服务权限。例如,Server Operators
组对某些服务拥有完全控制权,允许执行任意命令和权限提升:
此命令显示 Server Operators
拥有完全访问权限,从而能够操纵服务以获取提升的权限。
备份操作员
加入 Backup Operators
组可访问 DC01
文件系统,因为拥有 SeBackup
和 SeRestore
权限。这些权限使得文件夹遍历、列出和文件复制成为可能,即使没有明确的权限,也可以使用 FILE_FLAG_BACKUP_SEMANTICS
标志。此过程需要使用特定的脚本。
要列出组成员,请执行:
本地攻击
要在本地利用这些权限,采用以下步骤:
导入必要的库:
启用并验证
SeBackupPrivilege
:
访问并复制受限目录中的文件,例如:
AD 攻击
直接访问域控制器的文件系统允许窃取 NTDS.dit
数据库,该数据库包含所有域用户和计算机的 NTLM 哈希。
使用 diskshadow.exe
创建
C
盘的影像副本:
从影子副本中复制
NTDS.dit
:
或者,使用 robocopy
进行文件复制:
提取
SYSTEM
和SAM
以获取哈希:
从
NTDS.dit
中检索所有哈希:
使用 wbadmin.exe
在攻击者机器上设置 NTFS 文件系统以用于 SMB 服务器,并在目标机器上缓存 SMB 凭据。
使用
wbadmin.exe
进行系统备份和NTDS.dit
提取:
有关实际演示,请参见 DEMO VIDEO WITH IPPSEC。
DnsAdmins
DnsAdmins 组的成员可以利用他们的特权在 DNS 服务器上加载任意 DLL,通常托管在域控制器上。此能力允许显著的利用潜力。
要列出 DnsAdmins 组的成员,请使用:
执行任意 DLL
成员可以使用以下命令使 DNS 服务器加载任意 DLL(无论是本地的还是来自远程共享的):
重启DNS服务(这可能需要额外的权限)是加载DLL所必需的:
对于此攻击向量的更多细节,请参考 ired.team。
Mimilib.dll
使用 mimilib.dll 进行命令执行也是可行的,可以修改它以执行特定命令或反向 shell。查看此帖子以获取更多信息。
WPAD 记录用于 MitM
DnsAdmins 可以操纵 DNS 记录,通过在禁用全局查询阻止列表后创建 WPAD 记录来执行中间人(MitM)攻击。可以使用 Responder 或 Inveigh 等工具进行欺骗和捕获网络流量。
事件日志读取器
成员可以访问事件日志,可能会找到敏感信息,例如明文密码或命令执行细节:
Exchange Windows 权限
该组可以修改域对象上的 DACL,可能授予 DCSync 权限。利用该组进行权限提升的技术详见 Exchange-AD-Privesc GitHub 仓库。
Hyper-V 管理员
Hyper-V 管理员对 Hyper-V 拥有完全访问权限,这可以被利用来控制虚拟化的域控制器。这包括克隆实时域控制器和从 NTDS.dit 文件中提取 NTLM 哈希。
利用示例
Hyper-V 管理员可以利用 Firefox 的 Mozilla 维护服务以 SYSTEM 身份执行命令。这涉及创建一个指向受保护的 SYSTEM 文件的硬链接,并用恶意可执行文件替换它:
注意:硬链接利用在最近的Windows更新中已被缓解。
组织管理
在部署了Microsoft Exchange的环境中,一个特殊的组称为组织管理,拥有重要的能力。该组有权访问所有域用户的邮箱,并对“Microsoft Exchange安全组”组织单位(OU)保持完全控制。这种控制包括**Exchange Windows Permissions
**组,该组可以被利用进行特权升级。
特权利用和命令
打印操作员
打印操作员组的成员被赋予多个特权,包括**SeLoadDriverPrivilege
,这使他们能够在域控制器上本地登录**、关闭它并管理打印机。为了利用这些特权,特别是在**SeLoadDriverPrivilege
**在未提升的上下文中不可见的情况下,必须绕过用户帐户控制(UAC)。
要列出该组的成员,可以使用以下PowerShell命令:
对于与 SeLoadDriverPrivilege
相关的更详细的利用技术,应咨询特定的安全资源。
远程桌面用户
该组的成员通过远程桌面协议 (RDP) 获得对 PC 的访问权限。要枚举这些成员,可以使用 PowerShell 命令:
进一步了解利用 RDP 的信息可以在专门的渗透测试资源中找到。
远程管理用户
成员可以通过 Windows 远程管理 (WinRM) 访问 PC。通过以下方式枚举这些成员:
对于与 WinRM 相关的利用技术,应参考特定文档。
服务器操作员
该组具有在域控制器上执行各种配置的权限,包括备份和恢复权限、改变系统时间和关闭系统。要枚举成员,可以使用以下命令:
References
Last updated