Privileged Groups
Last updated
Last updated
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amministratori
Amministratori di Dominio
Amministratori Aziendali
Questo gruppo è autorizzato a creare account e gruppi che non sono amministratori nel dominio. Inoltre, consente il login locale al Domain Controller (DC).
Per identificare i membri di questo gruppo, viene eseguito il seguente comando:
Aggiungere nuovi utenti è consentito, così come il login locale a DC01.
La AdminSDHolder lista di controllo degli accessi (ACL) è cruciale in quanto imposta i permessi per tutti i "gruppi protetti" all'interno di Active Directory, inclusi i gruppi ad alta privilegio. Questo meccanismo garantisce la sicurezza di questi gruppi impedendo modifiche non autorizzate.
Un attaccante potrebbe sfruttare questo modificando l'ACL del gruppo AdminSDHolder, concedendo permessi completi a un utente standard. Questo darebbe effettivamente a quell'utente il pieno controllo su tutti i gruppi protetti. Se i permessi di questo utente vengono modificati o rimossi, verrebbero automaticamente ripristinati entro un'ora a causa del design del sistema.
I comandi per rivedere i membri e modificare i permessi includono:
Uno script è disponibile per accelerare il processo di ripristino: Invoke-ADSDPropagation.ps1.
Per ulteriori dettagli, visita ired.team.
L'appartenenza a questo gruppo consente la lettura degli oggetti di Active Directory eliminati, il che può rivelare informazioni sensibili:
L'accesso ai file sul DC è limitato a meno che l'utente non faccia parte del gruppo Server Operators
, il che cambia il livello di accesso.
Utilizzando PsService
o sc
di Sysinternals, è possibile ispezionare e modificare i permessi dei servizi. Il gruppo Server Operators
, ad esempio, ha il pieno controllo su determinati servizi, consentendo l'esecuzione di comandi arbitrari e l'escalation dei privilegi:
Questo comando rivela che i Server Operators
hanno accesso completo, consentendo la manipolazione dei servizi per privilegi elevati.
L'appartenenza al gruppo Backup Operators
fornisce accesso al file system di DC01
grazie ai privilegi SeBackup
e SeRestore
. Questi privilegi abilitano la traversata delle cartelle, l'elenco e la copia dei file, anche senza permessi espliciti, utilizzando il flag FILE_FLAG_BACKUP_SEMANTICS
. È necessario utilizzare script specifici per questo processo.
Per elencare i membri del gruppo, eseguire:
Per sfruttare questi privilegi localmente, vengono impiegati i seguenti passaggi:
Importa le librerie necessarie:
Abilitare e verificare SeBackupPrivilege
:
Accedere e copiare file da directory riservate, ad esempio:
L'accesso diretto al file system del Domain Controller consente il furto del database NTDS.dit
, che contiene tutti gli hash NTLM per gli utenti e i computer del dominio.
Crea una copia shadow del disco C
:
Copia NTDS.dit
dalla copia shadow:
In alternativa, usa robocopy
per la copia dei file:
Estrai SYSTEM
e SAM
per il recupero degli hash:
Recupera tutti gli hash da NTDS.dit
:
Configura il filesystem NTFS per il server SMB sulla macchina dell'attaccante e memorizza nella cache le credenziali SMB sulla macchina target.
Usa wbadmin.exe
per il backup del sistema e l'estrazione di NTDS.dit
:
Per una dimostrazione pratica, vedere VIDEO DEMO CON IPPSEC.
I membri del gruppo DnsAdmins possono sfruttare i loro privilegi per caricare una DLL arbitraria con privilegi di SYSTEM su un server DNS, spesso ospitato su Domain Controllers. Questa capacità consente un potenziale di sfruttamento significativo.
Per elencare i membri del gruppo DnsAdmins, usa:
I membri possono far caricare al server DNS una DLL arbitraria (sia localmente che da una condivisione remota) utilizzando comandi come:
Riavviare il servizio DNS (che potrebbe richiedere permessi aggiuntivi) è necessario affinché il DLL venga caricato:
Per ulteriori dettagli su questo vettore d'attacco, fare riferimento a ired.team.
È anche possibile utilizzare mimilib.dll per l'esecuzione di comandi, modificandolo per eseguire comandi specifici o reverse shell. Controlla questo post per ulteriori informazioni.
I DnsAdmins possono manipolare i record DNS per eseguire attacchi Man-in-the-Middle (MitM) creando un record WPAD dopo aver disabilitato l'elenco globale di blocco delle query. Strumenti come Responder o Inveigh possono essere utilizzati per il spoofing e la cattura del traffico di rete.
I membri possono accedere ai log degli eventi, trovando potenzialmente informazioni sensibili come password in chiaro o dettagli sull'esecuzione di comandi:
Questo gruppo può modificare i DACL sugli oggetti di dominio, potenzialmente concedendo privilegi DCSync. Le tecniche per l'escalation dei privilegi che sfruttano questo gruppo sono dettagliate nel repository GitHub Exchange-AD-Privesc.
Gli Amministratori di Hyper-V hanno accesso completo a Hyper-V, che può essere sfruttato per ottenere il controllo sui Domain Controller virtualizzati. Questo include la clonazione di DC attivi ed estraendo gli hash NTLM dal file NTDS.dit.
Il servizio di manutenzione di Mozilla Firefox può essere sfruttato dagli Amministratori di Hyper-V per eseguire comandi come SYSTEM. Questo comporta la creazione di un collegamento fisico a un file di sistema protetto e la sua sostituzione con un eseguibile malevolo:
Nota: Lo sfruttamento dei collegamenti hard è stato mitigato negli aggiornamenti recenti di Windows.
Negli ambienti in cui è distribuito Microsoft Exchange, un gruppo speciale noto come Gestione dell'Organizzazione detiene capacità significative. Questo gruppo ha il privilegio di accedere alle cassette postali di tutti gli utenti del dominio e mantiene il pieno controllo sull'Unità Organizzativa (OU) 'Gruppi di Sicurezza di Microsoft Exchange'. Questo controllo include il gruppo Exchange Windows Permissions
, che può essere sfruttato per l'escalation dei privilegi.
I membri del gruppo Operatori di Stampa sono dotati di diversi privilegi, incluso il SeLoadDriverPrivilege
, che consente loro di accedere localmente a un Controller di Dominio, spegnerlo e gestire le stampanti. Per sfruttare questi privilegi, specialmente se SeLoadDriverPrivilege
non è visibile in un contesto non elevato, è necessario bypassare il Controllo Account Utente (UAC).
Per elencare i membri di questo gruppo, viene utilizzato il seguente comando PowerShell:
Per tecniche di sfruttamento più dettagliate relative a SeLoadDriverPrivilege
, è consigliabile consultare risorse di sicurezza specifiche.
I membri di questo gruppo hanno accesso ai PC tramite il Protocollo Desktop Remoto (RDP). Per enumerare questi membri, sono disponibili comandi PowerShell:
Ulteriori approfondimenti sull'exploitation di RDP possono essere trovati in risorse dedicate al pentesting.
I membri possono accedere ai PC tramite Windows Remote Management (WinRM). L'enumerazione di questi membri si ottiene attraverso:
Per le tecniche di sfruttamento relative a WinRM, è necessario consultare documentazione specifica.
Questo gruppo ha i permessi per eseguire varie configurazioni sui Domain Controller, inclusi privilegi di backup e ripristino, modifica dell'ora di sistema e spegnimento del sistema. Per enumerare i membri, il comando fornito è:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)