Abusing Active Directory ACLs/ACEs
यह पृष्ठ मुख्य रूप से https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-active-directory-acls-aces और https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges** की तकनीकों का सारांश है। जब अधिक विवरण चाहिए, तो मूल लेखों की जांच करें।**
उपयुक्त सभी अधिकार उपयोगकर्ता पर
इस विशेषाधिकार से हमलावर को लक्षित उपयोगकर्ता खातेर पर पूरा नियंत्रण होता है। एक बार GenericAll
अधिकार साबित होने पर Get-ObjectAcl
कमांड का उपयोग करके हमलावर:
लक्षित के पासवर्ड बदलें:
net user <username> <password> /domain
का उपयोग करके हमलावर उपयोगकर्ता का पासवर्ड रीसेट कर सकता है।लक्षित Kerberoasting: SPN को उपयोगकर्ता के खातेर में असाइन करके इसे kerberoastable बनाएं, फिर Rubeus और targetedKerberoast.py का उपयोग करके टिकट-ग्रांटिंग टिकट (TGT) हैश को निकालने और क्रैक करने का प्रयास करें।
लक्षित ASREPRoasting: प्री-प्रमाणीकरण को अक्षम करें उपयोगकर्ता के लिए, जिससे उनका खाता ASREPRoasting के लिए विकल्पनीय बन जाता है।
सामान्य सभी अधिकार समूह पर
यह विशेषाधिकार एक हमलावर को समूहों के सदस्यता को परिवर्तित करने की अनुमति देता है अगर उनके पास सामान्य सभी
अधिकार हैं किसी समूह जैसे डोमेन व्यवस्थापक
. Get-NetGroup
के साथ समूह की विशिष्ट नाम की पहचान करने के बाद, हमलावर निम्न कार्रवाई कर सकता है:
अपने आप को डोमेन व्यवस्थापक समूह में जोड़ें: इसे सीधे कमांड या Active Directory या PowerSploit जैसे मॉड्यूल का उपयोग करके किया जा सकता है।
GenericAll / GenericWrite / Write on Computer/User
किसी कंप्यूटर ऑब्जेक्ट या उपयोगकर्ता खाते पर इन विशेषाधिकारों को रखने से निम्नलिखित कार्रवाई की जा सकती है:
कर्बेरोस संसाधन-आधारित सीमित प्रतिनिधित्व: कंप्यूटर ऑब्जेक्ट को अधिकार में लेने की संभावना प्रदान करता है।
शैडो क्रेडेंशियल्स: इस तकनीक का उपयोग करके कंप्यूटर या उपयोगकर्ता खाते का अनुकरण करने के लिए उपयोगकर्ता खाते को अनुकरण करने के लिए विशेषाधिकारों का शोषण करें।
Group पर WriteProperty
यदि किसी उपयोगकर्ता के पास विशेष समूह (जैसे डोमेन व्यवस्थापक
) के लिए सभी ऑब्ज
स्वयं (स्वयं सदस्यता) समूह पर
यह विशेषाधिकार हमलावर्गियों को स्वयं को विशेष समूहों में जोड़ने की स्वीकृति देता है, जैसे कि डोमेन व्यवस्थापक
, जैसे समूहों में। निम्नलिखित कमांड अनुक्रम का उपयोग स्वयं जोड़ने की अनुमति देता है:
WriteProperty (स्व-सदस्यता)
एक समान विशेषाधिकार, यह हमलावारों को सीधे समूहों में अपने आप को जोड़ने की अनुमति देता है यदि उनके पास उन समूहों पर WriteProperty
अधिकार है। इस विशेषाधिकार की पुष्टि और क्रियान्वयन निम्नलिखित के साथ किया जाता है:
ForceChangePassword
एक उपयोगकर्ता पर User-Force-Change-Password
के लिए ExtendedRight
को धारित करना वर्तमान पासवर्ड को न पता होने के बिना पासवर्ड रीसेट करने की अनुमति देता है। इस अधिकार की पुष्टि और इसका शोषण PowerShell या वैकल्पिक कमांड-लाइन उपकरण के माध्यम से किया जा सकता है, जो एक उपयोगकर्ता का पासवर्ड रीसेट करने के कई तरीके प्रदान करता है, जिसमें इंटरैक्टिव सत्र और गैर-इंटरैक्टिव पर्यावरण के लिए वन-लाइनर्स शामिल हैं। कमांड साधारित PowerShell आह्वान से लेकर लिनक्स पर rpcclient
का उपयोग करने तक का है, जो हमले के वेक्टर्स की विविधता को प्रदर्शित करता है।
ग्रुप पर WriteOwner लिखें
यदि किसी हमलावर को पाता चलता है कि उनके पास किसी ग्रुप पर WriteOwner
अधिकार हैं, तो वे ग्रुप की स्वामित्व को अपने नाम पर बदल सकते हैं। यह विशेष रूप से प्रभावी होता है जब ग्रुप Domain Admins
होता है, क्योंकि स्वामित्व बदलने से ग्रुप विशेषताओं और सदस्यता पर अधिक नियंत्रण मिलता है। इस प्रक्रिया में Get-ObjectAcl
के माध्यम से सही ऑब्जेक्ट की पहचान करना शामिल है और फिर Set-DomainObjectOwner
का उपयोग करके मालिक को संशोधित करना है, या तो SID द्वारा या नाम द्वारा।
उपयोगकर्ता पर GenericWrite
यह अनुमति एक हमलाविता को उपयोगकर्ता गुणों को संशोधित करने की अनुमति देती है। विशेष रूप से, GenericWrite
पहुंच के साथ, हमलाविता उपयोगकर्ता लॉगऑन प्रवेश पर एक दुरुपयोगी स्क्रिप्ट को चलाने के लिए उपयोगकर्ता का लॉगऑन स्क्रिप्ट पथ बदल सकता है। इसे लक्ष्य उपयोगकर्ता की scriptpath
संपत्ति को हमलाविता की स्क्रिप्ट की ओर इशारा करने के लिए Set-ADObject
कमांड का उपयोग करके प्राप्त किया जाता है।
समूह पर GenericWrite
इस विशेषाधिकार के साथ, हमलावर समूह सदस्यता को बदल सकते हैं, जैसे किसी विशेष समूह में अपने आप को या अन्य उपयोगकर्ताओं को जोड़ना। इस प्रक्रिया में एक प्रमाण पदार्थ बनाना शामिल है, इसका उपयोग करके समूह से उपयोगकर्ताओं को जोड़ना या हटाना, और PowerShell कमांड के साथ सदस्यता परिवर्तनों की पुष्टि करना।
WriteDACL + WriteOwner
AD ऑब्जेक्ट का स्वामित्व होना और उस पर WriteDACL
विशेषाधिकार होना एक हमलावार को ऑब्जेक्ट पर GenericAll
विशेषाधिकार प्रदान करने की क्षमता प्रदान करता है। यह ADSI मानिपुलेशन के माध्यम से प्राप्त किया जाता है, जिससे ऑब्ज
डोमेन पर प्रतिलिपि (DCSync)
DCSync हमला डोमेन पर विशिष्ट प्रतिलिपि अनुमतियों का उपयोग करता है ताकि एक डोमेन कंट्रोलर की भूमिका नकल कर सके और डेटा समकालीन कर सके, सहित उपयोगकर्ता क्रेडेंशियल्स। यह शक्तिशाली तकनीक अनुमतियों जैसे DS-Replication-Get-Changes
की आवश्यकता होती है, जो हमलावरों को एडी परिवेश से संबंधित जानकारी निकालने की अनुमति देती है बिना किसी डोमेन कंट्रोलर का सीधा पहुंच। DCSync हमले के बारे में अधिक जानें यहाँ।
GPO सम्मति
GPO सम्मति
समूह नीति ऑब्जेक्ट्स (GPOs) को प्रबंधित करने के लिए सौंपी गई पहुंच महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत कर सकती है। उदाहरण के लिए, यदि एक उपयोगकर्ता जैसे offense\spotless
को GPO प्रबंधन के अधिकार सौंपे गए हैं, तो उनके पास WriteProperty, WriteDacl, और WriteOwner जैसी विशेषाधिकार हो सकते हैं। ये अनुमतियाँ दुरुपयोग के लिए प्रयोग की जा सकती हैं, जैसा कि PowerView का उपयोग करके पहचाना गया है: bash Get-ObjectAcl -ResolveGUIDs | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
GPO सम्मतियों का जाँच
गलत रूप से कॉन्फ़िगर किए गए GPOs की पहचान करने के लिए PowerSploit के cmdlets को एक साथ जोड़ा जा सकता है। इससे किसी विशेष उपयोगकर्ता को प्रबंधित करने की अनुमति है उन GPOs की खोज की जा सकती है: powershell Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name} | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
एक निर्धारित नीति लागू किए गए कंप्यूटर: किसी विशेष GPO को किस कंप्यूटर पर लागू किया गया है, इसे सुलझाने में मदद कर सकता है। powershell Get-NetOU -GUID "{DDC640FF-634A-4442-BC2E-C05EED132F0C}" | % {Get-NetComputer -ADSpath $_}
एक निर्धारित कंप्यूटर पर लागू नीतियाँ: किसी विशेष कंप्यूटर पर कौन-कौन सी नीतियाँ लागू हैं, Get-DomainGPO
जैसे कमांड का उपयोग किया जा सकता है।
निर्धारित नीति लागू ओयू: दिए गए नीति से प्रभावित संगठनिक इकाइयों (OUs) की पहचान करना Get-DomainOU
का उपयोग करके किया जा सकता है।
GPO दुरुपयोग - New-GPOImmediateTask
गलत रूप से कॉन्फ़िगर किए गए GPOs का दुरुपयोग किया जा सकता है कोड निष्पादित करने के लिए, उदाहरण के लिए, तत्काल निर्धारित कार्य को बनाकर। इसे किया जा सकता है ताकि प्रभावित मशीनों पर स्थानीय प्रशासकों समूह में एक उपयोगकर्ता जोड़ा जा सके, जो अधिकारों को काफी ऊंचा कर सकता है:
GroupPolicy मॉड्यूल - GPO का दुरुपयोग
यदि स्थापित है, तो GroupPolicy मॉड्यूल नए GPO बनाने और लिंक करने की अनुमति देता है, और प्रभावित कंप्यूटर पर बैकडोअर्स को निष्पादित करने के लिए रजिस्ट्री मान्यताएँ सेट करने की अनुमति देता है। इस विधि के लिए GPO को अपडेट किया जाना चाहिए और निष्पादन के लिए कंप्यूटर में एक उपयोगकर्ता को लॉग इन करना चाहिए:
SharpGPOAbuse - GPO का दुरुपयोग
SharpGPOAbuse एक विधि प्रदान करता है जिससे मौजूदा GPOs का दुरुपयोग किया जा सकता है टास्क जोड़कर या सेटिंग्स को संशोधित करके नए GPOs बनाने की आवश्यकता नहीं होती। इस उपकरण को मौजूदा GPOs का संशोधन करने की आवश्यकता होती है या परिवर्तन लागू करने से पहले नए बनाने के लिए RSAT उपकरण का उपयोग करना होता है:
Force Policy Update
GPO अपडेट सामान्यत: हर 90 मिनट में होते हैं। इस प्रक्रिया को तेजी से बढ़ाने के लिए, खासकर किसी बदलाव को लागू करने के बाद, लक्षित कंप्यूटर पर gpupdate /force
कमांड का उपयोग किया जा सकता है ताकि तत्काल नीति अपड
Last updated