Privileged Groups
Ομάδες με γνωστά δικαιώματα διαχείρισης
Διαχειριστές (Administrators)
Διαχειριστές του τομέα (Domain Admins)
Διαχειριστές της επιχείρησης (Enterprise Admins)
Χειριστές λογαριασμών (Account Operators)
Αυτή η ομάδα έχει τη δυνατότητα να δημιουργεί λογαριασμούς και ομάδες που δεν είναι διαχειριστές στον τομέα. Επιπλέον, επιτρέπει την τοπική σύνδεση στον ελεγκτή του τομέα (Domain Controller - DC).
Για την εντοπισμό των μελών αυτής της ομάδας, εκτελείται η παρακάτω εντολή:
Επιτρέπεται η προσθήκη νέων χρηστών, καθώς και η τοπική σύνδεση στο DC01.
Ομάδα AdminSDHolder
Ο έλεγχος πρόσβασης (ACL) της ομάδας AdminSDHolder είναι κρίσιμος, καθώς ορίζει τα δικαιώματα για όλες τις "προστατευμένες ομάδες" εντός του Active Directory, συμπεριλαμβανομένων των ομάδων υψηλών προνομίων. Αυτός ο μηχανισμός εξασφαλίζει την ασφάλεια αυτών των ομάδων αποτρέποντας μη εξουσιοδοτημένες τροποποιήσεις.
Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό προσαρμόζοντας το ACL της ομάδας AdminSDHolder, χορηγώντας πλήρη δικαιώματα σε έναν κανονικό χρήστη. Αυτό θα δώσει αποτελεσματικά σε αυτόν τον χρήστη πλήρη έλεγχο επί όλων των προστατευμένων ομάδων. Εάν τα δικαιώματα αυτού του χρήστη τροποποιηθούν ή αφαιρεθούν, θα αποκατασταθούν αυτόματα εντός μίας ώρας λόγω του σχεδιασμού του συστήματος.
Οι εντολές για να ελέγξετε τα μέλη και να τροποποιήσετε τα δικαιώματα περιλαμβάνουν:
Ένα σενάριο είναι διαθέσιμο για να επιταχύνει τη διαδικασία ανάκτησης: Invoke-ADSDPropagation.ps1.
Για περισσότερες λεπτομέρειες, επισκεφθείτε το ired.team.
AD Recycle Bin
Η συμμετοχή σε αυτήν την ομάδα επιτρέπει την ανάγνωση διαγραμμένων αντικειμένων του Active Directory, τα οποία μπορεί να αποκαλύψουν ευαίσθητες πληροφορίες:
Πρόσβαση στον ελεγκτή του τομέα
Η πρόσβαση σε αρχεία στον DC είναι περιορισμένη εκτός αν ο χρήστης ανήκει στην ομάδα Server Operators
, η οποία αλλάζει το επίπεδο πρόσβασης.
Ανέλιξη προνομιών
Χρησιμοποιώντας τα εργαλεία PsService
ή sc
από το Sysinternals, μπορεί κανείς να επιθεωρήσει και να τροποποιήσει τις άδειες των υπηρεσιών. Για παράδειγμα, η ομάδα Server Operators
έχει πλήρη έλεγχο πάνω σε ορισμένες υπηρεσίες, επιτρέποντας την εκτέλεση αυθαίρετων εντολών και ανέλιξη προνομιών:
Αυτή η εντολή αποκαλύπτει ότι οι Server Operators
έχουν πλήρη πρόσβαση, επιτρέποντας την παρέμβαση σε υπηρεσίες για αυξημένα προνόμια.
Τελεστές Αντιγράφων Ασφαλείας
Η συμμετοχή στην ομάδα Backup Operators
παρέχει πρόσβαση στο σύστημα αρχείων του DC01
λόγω των προνομίων SeBackup
και SeRestore
. Αυτά τα προνόμια επιτρέπουν τη δυνατότητα διάσχισης φακέλων, λίστας και αντιγραφής αρχείων, ακόμα και χωρίς ρητές άδειες, χρησιμοποιώντας τη σημαία FILE_FLAG_BACKUP_SEMANTICS
. Είναι απαραίτητη η χρήση συγκεκριμένων σεναρίων για αυτήν τη διαδικασία.
Για να εμφανιστούν οι μέλη της ομάδας, εκτελέστε:
Τοπική Επίθεση
Για να αξιοποιήσουμε αυτά τα προνόμια τοπικά, ακολουθούνται τα παρακάτω βήματα:
Εισαγωγή απαραίτητων βιβλιοθηκών:
Ενεργοποίηση και επαλήθευση του
SeBackupPrivilege
:
SeBackupPrivilege Επιτρέπεται
Πρόσβαση και αντιγραφή αρχείων από περιορισμένους φακέλους, για παράδειγμα:
Επίθεση στο AD
Ο άμεσος πρόσβαση στο σύστημα αρχείων του Domain Controller επιτρέπει την κλοπή της βάσης δεδομένων NTDS.dit
, η οποία περιέχει όλα τα NTLM hashes για τους χρήστες και τους υπολογιστές του τομέα.
Χρήση του diskshadow.exe
Δημιουργία ενός αντίγραφου σκιάς του δίσκου
C
:
Αντιγράψτε το
NTDS.dit
από το αντίγραφο σκιάς:
Εναλλακτικά, χρησιμοποιήστε το robocopy
για την αντιγραφή αρχείων:
Εξαγωγή των αρχείων
SYSTEM
καιSAM
για την ανάκτηση των κατακερματισμένων τιμών:
Ανάκτηση όλων των κατακερματισμένων τιμών από το
NTDS.dit
:
Χρήση του wbadmin.exe
Διαμορφώστε το σύστημα αρχείων NTFS για τον διακομιστή SMB στη μηχανή του επιτιθέμενου και κρατήστε τα διαπιστευτήρια SMB στη μηχανή-στόχο.
Χρησιμοποιήστε το
wbadmin.exe
για τη δημιουργία αντιγράφου ασφαλείας του συστήματος και την εξαγωγή του αρχείουNTDS.dit
:
Για μια πρακτική επίδειξη, δείτε το ΒΙΝΤΕΟ ΔΕΙΓΜΑΤΟΣ ΜΕ ΤΟΝ IPPSEC.
DnsAdmins
Τα μέλη της ομάδας DnsAdmins μπορούν να εκμεταλλευτούν τα προνόμιά τους για να φορτώσουν ένα αυθαίρετο DLL με προνόμια SYSTEM σε έναν διακομιστή DNS, που συχνά φιλοξενείται σε ελεγκτές τομέα. Αυτή η δυνατότητα επιτρέπει σημαντικές δυνατότητες εκμετάλλευσης.
Για να εμφανίσετε τα μέλη της ομάδας DnsAdmins, χρησιμοποιήστε:
Εκτέλεση αυθαίρετου DLL
Τα μέλη μπορούν να κάνουν τον διακομιστή DNS να φορτώσει ένα αυθαίρετο DLL (είτε τοπικά είτε από απομακρυσμένο κοινόχρηστο φάκελο) χρησιμοποιώντας εντολές όπως:
Είναι απαραίτητο να επανεκκινήσετε την υπηρεσία DNS (η οποία μπορεί να απαιτεί επιπλέον δικαιώματα) για να φορτωθεί το DLL:
Για περισσότερες λεπτομέρειες σχετικά με αυτό το διάνυσμα επίθεσης, ανατρέξτε στο ired.team.
Mimilib.dll
Είναι επίσης εφικτό να χρησιμοποιηθεί το mimilib.dll για την εκτέλεση εντολών, τροποποιώντας το για να εκτελεί συγκεκριμένες εντολές ή αντίστροφα κελύφη. Ελέγξτε αυτήν την ανάρτηση για περισσότερες πληροφορίες.
Εγγραφή WPAD για MitM
Οι DnsAdmins μπορούν να παραπλανήσουν τις εγγραφές DNS για να πραγματοποιήσουν επιθέσεις Man-in-the-Middle (MitM) δημιουργώντας μια εγγραφή WPAD μετά την απενεργοποίηση της λίστας αποκλεισμού ερωτήσεων. Εργαλεία όπως το Responder ή το Inveigh μπορούν να χρησιμοποιηθούν για την πλαστογράφηση και την καταγραφή της κίνησης του δικτύου.
Αναγνώστες Καταγραφής Συμβάντων
Τα μέλη μπορούν να έχουν πρόσβαση στις καταγραφές συμβάντων, ενδεχομένως εντοπίζοντας ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης κατά κείμενο ή λεπτομέρειες εκτέλεσης εντολών:
Άδειες Windows Exchange
Αυτή η ομάδα μπορεί να τροποποιήσει τα DACLs στο αντικείμενο του τομέα, πιθανώς χορηγώντας προνόμια DCSync. Οι τεχνικές για την ανέλιξη προνομίων εκμεταλλευόμενοι αυτήν την ομάδα αναλύονται στο αποθετήριο GitHub Exchange-AD-Privesc.
Διαχειριστές Hyper-V
Οι Διαχειριστές Hyper-V έχουν πλήρη πρόσβαση στο Hyper-V, το οποίο μπορεί να εκμεταλλευτεί για να αποκτήσει έλεγχο επάνω σε εικονικούς ελεγκτές τομέα. Αυτό περιλαμβάνει την κλωνοποίηση ζωντανών DCs και την εξαγωγή NTLM hashes από το αρχείο NTDS.dit.
Παράδειγμα Εκμετάλλευσης
Ο Mozilla Maintenance Service του Firefox μπορεί να εκμεταλλευτεί από τους Διαχειριστές Hyper-V για να εκτελέσουν εντολές ως SYSTEM. Αυτό περιλαμβάνει τη δημιουργία ενός σκληρού συνδέσμου προς ένα προστατευμένο αρχείο SYSTEM και την αντικατάστασή του με ένα κακόβουλο εκτελέσιμο αρχείο:
Σημείωση: Η εκμετάλλευση των σκληρών συνδέσμων έχει αντιμετωπιστεί σε πρόσφατες ενημερώσεις των Windows.
Διαχείριση Οργανισμού
Σε περιβάλλοντα όπου έχει εγκατασταθεί το Microsoft Exchange, υπάρχει μια ειδική ομάδα που ονομάζεται Διαχείριση Οργανισμού και διαθέτει σημαντικές δυνατότητες. Αυτή η ομάδα έχει την εξουσία να έχει πρόσβαση στα ηλεκτρονικά ταχυδρομεία όλων των χρηστών του τομέα και να διατηρεί πλήρη έλεγχο στην Μονάδα Οργανωτικών Ομάδων 'Microsoft Exchange Security Groups'. Αυτός ο έλεγχος περιλαμβάνει την ομάδα Exchange Windows Permissions
, η οποία μπορεί να εκμεταλλευτεί για ανέλιξη προνομιακών δικαιωμάτων.
Εκμετάλλευση Προνομιακών Δικαιωμάτων και Εντολές
Τελεστές Εκτύπωσης
Τα μέλη της ομάδας Τελεστές Εκτύπωσης διαθέτουν αρκετά προνόμια, συμπεριλαμβανομένου του SeLoadDriverPrivilege
, το οποίο τους επιτρέπει να συνδεθούν τοπικά σε έναν ελεγκτή τομέα, να τον κλείσουν και να διαχειριστούν εκτυπωτές. Για να εκμεταλλευτούν αυτά τα προνόμια, ειδικά αν το SeLoadDriverPrivilege
δεν είναι ορατό κάτω από ένα μη ανυψωμένο πλαίσιο, είναι απαραίτητο να παρακάμψετε τον Έλεγχο Χρηστών Λογαριασμού (UAC).
Για να εμφανιστούν οι μέλη αυτής της ομάδας, χρησιμοποιείται η παρακάτω εντολή PowerShell:
Για περισσότερες λεπτομερείς τεχνικές εκμετάλλευσης που σχετίζονται με το SeLoadDriverPrivilege
, θα πρέπει να ανατρέξετε σε συγκεκριμένους πόρους ασφαλείας.
Χρήστες Απομακρυσμένης Επιφάνειας Εργασίας
Τα μέλη αυτής της ομάδας έχουν πρόσβαση σε υπολογιστές μέσω του πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP). Για να απαριθμήσετε αυτά τα μέλη, υπάρχουν διαθέσιμες εντολές PowerShell:
Περαιτέρω εισαγωγή στην εκμετάλλευση του RDP μπορεί να βρεθεί σε αφιερωμένους πόρους για το pentesting.
Χρήστες Απομακρυσμένης Διαχείρισης
Τα μέλη μπορούν να έχουν πρόσβαση σε υπολογιστές μέσω της Απομακρυσμένης Διαχείρισης των Windows (WinRM). Η απαρίθμηση αυτών των μελών επιτυγχάνεται μέσω:
Για τεχνικές εκμετάλλευσης που σχετίζονται με το WinRM, πρέπει να ανατρέξετε σε συγκεκριμένη τεκμηρίωση.
Τελεστές Διακομιστή
Αυτή η ομάδα έχει δικαιώματα για να πραγματοποιήσει διάφορες ρυθμίσεις στους ελεγκτές του τομέα, συμπεριλαμβανομένων των δικαιωμάτων αντιγραφής ασφαλείας και επαναφοράς, αλλαγής της ώρας του συστήματος και απενεργοποίησης του συστήματος. Για να απαριθμήσετε τα μέλη, χρησιμοποιήστε την παρακάτω εντολή:
Αναφορές
Last updated