Privileged Groups
Bekannte Gruppen mit Administrationsrechten
Administratoren
Domänen-Administratoren
Unternehmens-Administratoren
Account-Betreiber
Diese Gruppe ist berechtigt, Konten und Gruppen zu erstellen, die keine Administratoren in der Domäne sind. Darüber hinaus ermöglicht es die lokale Anmeldung am Domänencontroller (DC).
Um die Mitglieder dieser Gruppe zu identifizieren, wird der folgende Befehl ausgeführt:
Das Hinzufügen neuer Benutzer ist erlaubt, ebenso wie die lokale Anmeldung bei DC01.
AdminSDHolder-Gruppe
Die Access Control List (ACL) der AdminSDHolder-Gruppe ist entscheidend, da sie Berechtigungen für alle "geschützten Gruppen" in Active Directory festlegt, einschließlich hochprivilegierter Gruppen. Dieser Mechanismus gewährleistet die Sicherheit dieser Gruppen, indem unbefugte Änderungen verhindert werden.
Ein Angreifer könnte dies ausnutzen, indem er die ACL der AdminSDHolder-Gruppe ändert und einem Standardbenutzer volle Berechtigungen gewährt. Dadurch hätte dieser Benutzer effektive Kontrolle über alle geschützten Gruppen. Wenn die Berechtigungen dieses Benutzers geändert oder entfernt werden, werden sie aufgrund des Systemdesigns innerhalb einer Stunde automatisch wiederhergestellt.
Befehle zur Überprüfung der Mitglieder und zur Änderung der Berechtigungen sind:
Ein Skript steht zur Verfügung, um den Wiederherstellungsprozess zu beschleunigen: Invoke-ADSDPropagation.ps1.
Weitere Details finden Sie unter ired.team.
AD-Papierkorb
Die Mitgliedschaft in dieser Gruppe ermöglicht das Lesen gelöschter Active Directory-Objekte, was sensible Informationen offenlegen kann:
Zugriff auf den Domänencontroller
Der Zugriff auf Dateien auf dem DC ist eingeschränkt, es sei denn, der Benutzer gehört zur Gruppe "Server Operators", was das Zugriffsniveau ändert.
Privilege Escalation
Mit PsService
oder sc
von Sysinternals kann man Service-Berechtigungen inspizieren und ändern. Die Gruppe "Server Operators" hat beispielsweise volle Kontrolle über bestimmte Dienste, was die Ausführung beliebiger Befehle und Privilege Escalation ermöglicht:
Dieser Befehl zeigt, dass Server Operators
vollen Zugriff haben und somit die Manipulation von Diensten für erhöhte Privilegien ermöglichen.
Backup-Betreiber
Die Mitgliedschaft in der Gruppe Backup-Betreiber
gewährt Zugriff auf das Dateisystem von DC01
aufgrund der SeBackup
- und SeRestore
-Privilegien. Diese Privilegien ermöglichen das Durchsuchen von Ordnern, das Auflisten von Dateien und das Kopieren von Dateien, auch ohne explizite Berechtigungen, unter Verwendung des Flags FILE_FLAG_BACKUP_SEMANTICS
. Für diesen Vorgang sind spezifische Skripte erforderlich.
Um die Mitglieder der Gruppe aufzulisten, führen Sie aus:
Lokaler Angriff
Um diese Berechtigungen lokal zu nutzen, werden die folgenden Schritte durchgeführt:
Importieren der erforderlichen Bibliotheken:
Aktivieren und überprüfen Sie
SeBackupPrivilege
:
whoami /priv
Auf Dateien in eingeschränkten Verzeichnissen zugreifen und kopieren, zum Beispiel:
AD-Angriff
Direkter Zugriff auf das Dateisystem des Domain Controllers ermöglicht den Diebstahl der NTDS.dit
-Datenbank, die alle NTLM-Hashes für Domänenbenutzer und -computer enthält.
Verwendung von diskshadow.exe
Erstellen Sie eine Schattenkopie des Laufwerks
C
:
Kopieren Sie
NTDS.dit
aus dem Schattenkopie:
Alternativ können Sie robocopy
zum Kopieren von Dateien verwenden:
Extrahiere
SYSTEM
undSAM
zur Hash-Wiederherstellung:
Holen Sie alle Hashes aus
NTDS.dit
ab:
Verwendung von wbadmin.exe
Richten Sie das NTFS-Dateisystem für den SMB-Server auf dem Angreiferrechner ein und speichern Sie die SMB-Anmeldeinformationen im Zwischenspeicher des Zielrechners.
Verwenden Sie
wbadmin.exe
für die Systemsicherung und die Extraktion vonNTDS.dit
:
Für eine praktische Demonstration siehe DEMO-VIDEO MIT IPPSEC.
DnsAdmins
Mitglieder der Gruppe DnsAdmins können ihre Privilegien ausnutzen, um eine beliebige DLL mit SYSTEM-Privilegien auf einem DNS-Server zu laden, der häufig auf Domänencontrollern gehostet wird. Diese Fähigkeit bietet erhebliches Ausbeutungspotenzial.
Um die Mitglieder der Gruppe DnsAdmins aufzulisten, verwenden Sie:
Ausführung beliebiger DLL-Dateien
Mit Befehlen wie den folgenden können Mitglieder den DNS-Server dazu bringen, eine beliebige DLL-Datei (entweder lokal oder von einem Remote-Share) zu laden:
Das Neustarten des DNS-Dienstes (was möglicherweise zusätzliche Berechtigungen erfordert) ist erforderlich, damit die DLL geladen werden kann:
Für weitere Details zu diesem Angriffsvektor siehe ired.team.
Mimilib.dll
Es ist auch möglich, mimilib.dll für die Ausführung von Befehlen zu verwenden, indem sie modifiziert wird, um spezifische Befehle oder Reverse Shells auszuführen. Weitere Informationen finden Sie in diesem Beitrag.
WPAD-Eintrag für MitM
DnsAdmins können DNS-Einträge manipulieren, um Man-in-the-Middle (MitM)-Angriffe durchzuführen, indem sie nach Deaktivierung der globalen Abfrageblockierungsliste einen WPAD-Eintrag erstellen. Tools wie Responder oder Inveigh können zum Spoofing und zur Erfassung des Netzwerkverkehrs verwendet werden.
Ereignisprotokoll-Leser
Mitglieder können auf Ereignisprotokolle zugreifen und potenziell sensible Informationen wie Klartext-Passwörter oder Details zur Befehlsausführung finden:
Exchange Windows-Berechtigungen
Diese Gruppe kann DACLs (Discretionary Access Control Lists) am Domänenobjekt ändern und potenziell DCSync-Berechtigungen gewähren. Techniken zur Privileg-Eskalation, die diese Gruppe ausnutzen, werden im Exchange-AD-Privesc GitHub-Repository detailliert beschrieben.
Hyper-V-Administratoren
Hyper-V-Administratoren haben vollen Zugriff auf Hyper-V, was ausgenutzt werden kann, um die Kontrolle über virtualisierte Domänencontroller zu erlangen. Dies beinhaltet das Klonen von aktiven DCs und das Extrahieren von NTLM-Hashes aus der NTDS.dit-Datei.
Beispiel für Ausnutzung
Der Mozilla Maintenance Service von Firefox kann von Hyper-V-Administratoren ausgenutzt werden, um Befehle als SYSTEM auszuführen. Dies beinhaltet das Erstellen eines Hardlinks zu einer geschützten SYSTEM-Datei und das Ersetzen dieser Datei durch eine bösartige ausführbare Datei:
Hinweis: Die Ausnutzung von Hardlinks wurde in aktuellen Windows-Updates abgeschwächt.
Organisation Management
In Umgebungen, in denen Microsoft Exchange eingesetzt wird, verfügt eine spezielle Gruppe namens Organization Management über erhebliche Fähigkeiten. Diese Gruppe ist berechtigt, auf die Postfächer aller Domänenbenutzer zuzugreifen und hat volle Kontrolle über die Organisationseinheit (OU) 'Microsoft Exchange Security Groups'. Diese Kontrolle umfasst die Gruppe Exchange Windows Permissions
, die für Privileg-Eskalation ausgenutzt werden kann.
Ausnutzung von Privilegien und Befehle
Druckoperatoren
Mitglieder der Gruppe Druckoperatoren verfügen über mehrere Privilegien, darunter das Privileg SeLoadDriverPrivilege
, das es ihnen ermöglicht, sich lokal bei einem Domänencontroller anzumelden, ihn herunterzufahren und Drucker zu verwalten. Um diese Privilegien auszunutzen, insbesondere wenn SeLoadDriverPrivilege
unter einem nicht erhöhten Kontext nicht sichtbar ist, ist es erforderlich, die Benutzerkontensteuerung (UAC) zu umgehen.
Um die Mitglieder dieser Gruppe aufzulisten, wird der folgende PowerShell-Befehl verwendet:
Für detailliertere Exploitationstechniken im Zusammenhang mit SeLoadDriverPrivilege
sollte man spezifische Sicherheitsressourcen konsultieren.
Remote Desktop-Benutzer
Die Mitglieder dieser Gruppe haben Zugriff auf PCs über das Remote Desktop Protocol (RDP). Um diese Mitglieder aufzulisten, stehen PowerShell-Befehle zur Verfügung:
Weitere Einblicke in die Ausnutzung von RDP finden Sie in speziellen Pentesting-Ressourcen.
Remote-Verwaltungsbenutzer
Mitglieder können auf PCs über die Windows Remote-Verwaltung (WinRM) zugreifen. Die Aufzählung dieser Mitglieder erfolgt über:
Für Exploitation-Techniken im Zusammenhang mit WinRM sollte spezifische Dokumentation konsultiert werden.
Server Operators
Diese Gruppe hat Berechtigungen, um verschiedene Konfigurationen auf Domain Controllern durchzuführen, einschließlich Backup- und Wiederherstellungsrechten, Ändern der Systemzeit und Herunterfahren des Systems. Um die Mitglieder aufzulisten, wird der folgende Befehl verwendet:
Referenzen
Last updated