Abusing Active Directory ACLs/ACEs
Ta strona to głównie podsumowanie technik z https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-active-directory-acls-aces i https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges. Aby uzyskać więcej szczegółów, sprawdź oryginalne artykuły.
Prawa GenericAll dla Użytkownika
To uprawnienie nadaje atakującemu pełną kontrolę nad kontem docelowego użytkownika. Po potwierdzeniu praw GenericAll za pomocą polecenia Get-ObjectAcl, atakujący może:
Zmienić Hasło Docelowego Użytkownika: Korzystając z
net user <nazwa_użytkownika> <hasło> /domain, atakujący może zresetować hasło użytkownika.Kerberoasting Ukierunkowany: Przypisać SPN do konta użytkownika, aby można było go poddać kerberoastingowi, a następnie użyć narzędzi Rubeus i targetedKerberoast.py do wydobycia i próby złamania skrótu biletu służącego do uzyskiwania biletów (TGT).
Ustalona ASREPRoasting: Wyłącz wstępną autentykację dla użytkownika, czyniąc jego konto podatnym na atak ASREPRoasting.
Prawa GenericAll w grupie
To uprawnienie pozwala atakującemu manipulować członkostwem w grupie, jeśli ma prawa GenericAll w grupie takiej jak Administratorzy domeny. Po zidentyfikowaniu nazwy wyróżniającej grupy za pomocą Get-NetGroup, atakujący może:
Dodać siebie do grupy Administratorzy domeny: Można to zrobić za pomocą poleceń bezpośrednich lub korzystając z modułów takich jak Active Directory lub PowerSploit.
GenericAll / GenericWrite / Write on Computer/User
Posiadanie tych uprawnień na obiekcie komputera lub koncie użytkownika umożliwia:
Ograniczona delegacja zasobów Kerberos: Umożliwia przejęcie obiektu komputera.
Cienie poświadczeń: Wykorzystaj tę technikę, aby podszywać się pod obiekt komputera lub użytkownika, wykorzystując uprawnienia do tworzenia cieni poświadczeń.
WriteProperty on Group
Jeśli użytkownik ma prawa WriteProperty do wszystkich obiektów dla określonej grupy (np. Administratorzy domeny), mogą:
Dodać Siebie do Grupy Administratorów Domeny: Możliwe poprzez połączenie poleceń
net useriAdd-NetGroupUser, ta metoda umożliwia eskalację uprawnień w domenie.
Sam (Samoprzynależność) w Grupie
To uprawnienie umożliwia atakującym dodanie siebie do konkretnych grup, takich jak Administratorzy domeny, za pomocą poleceń manipulujących bezpośrednio przynależnością do grupy. Użycie następującej sekwencji poleceń pozwala na dodanie siebie:
WriteProperty (Członkostwo w grupie)
Podobne uprawnienie, które pozwala atakującym bezpośrednio dodać siebie do grup poprzez modyfikację właściwości grup, jeśli mają prawo WriteProperty do tych grup. Potwierdzenie i wykonanie tego uprawnienia są wykonywane za pomocą:
ForceChangePassword
Posiadanie ExtendedRight na użytkowniku dla User-Force-Change-Password umożliwia resetowanie hasła bez znajomości bieżącego hasła. Weryfikacja tego uprawnienia i jego wykorzystanie może być przeprowadzone za pomocą PowerShella lub alternatywnych narzędzi wiersza poleceń, oferując kilka metod resetowania hasła użytkownika, w tym sesje interaktywne i jednolinijkowce dla środowisk nieinteraktywnych. Komendy te obejmują proste wywołania PowerShella oraz korzystanie z rpcclient na systemie Linux, co demonstruje wszechstronność wektorów ataku.
WriteOwner na grupie
Jeśli atakujący odkryje, że ma prawa WriteOwner do grupy, może zmienić właściciela grupy na siebie. Jest to szczególnie istotne, gdy grupą w pytaniu jest Domain Admins, ponieważ zmiana właściciela pozwala na szerszą kontrolę nad atrybutami grupy i jej członkostwem. Proces obejmuje zidentyfikowanie poprawnego obiektu za pomocą Get-ObjectAcl, a następnie użycie Set-DomainObjectOwner do zmiany właściciela, zarówno za pomocą SID, jak i nazwy.
GenericWrite dla użytkownika
To uprawnienie pozwala atakującemu modyfikować właściwości użytkowników. Konkretnie, dzięki dostępowi GenericWrite, atakujący może zmienić ścieżkę skryptu logowania użytkownika, aby wykonać złośliwy skrypt podczas logowania użytkownika. Można to osiągnąć, używając polecenia Set-ADObject do zaktualizowania właściwości scriptpath docelowego użytkownika, aby wskazywała na skrypt atakującego.
GenericWrite w grupie
Z tym uprawnieniem atakujący mogą manipulować przynależnością do grupy, na przykład dodając siebie lub innych użytkowników do określonych grup. Proces ten polega na tworzeniu obiektu poświadczeń, używaniu go do dodawania lub usuwania użytkowników z grupy oraz weryfikacji zmian przynależności za pomocą poleceń PowerShell.
WriteDACL + WriteOwner
Posiadanie obiektu AD i uprawnień WriteDACL umożliwia atakującemu przyznanie sobie uprawnień GenericAll do obiektu. Jest to osiągane poprzez manipulację ADSI, co pozwala na pełną kontrolę nad obiektem i możliwość modyfikacji jego przynależności do grup. Pomimo tego istnieją ograniczenia podczas próby wykorzystania tych uprawnień za pomocą poleceń Set-Acl / Get-Acl modułu Active Directory.
Replikacja w domenie (DCSync)
Atak DCSync wykorzystuje określone uprawnienia replikacji w domenie do naśladowania kontrolera domeny i synchronizacji danych, w tym poświadczeń użytkowników. Ta potężna technika wymaga uprawnień takich jak DS-Replication-Get-Changes, pozwalając atakującym wydobywać wrażliwe informacje z środowiska AD bez bezpośredniego dostępu do kontrolera domeny. Dowiedz się więcej o ataku DCSync tutaj.
Delegacja GPO
Delegacja GPO
Delegowany dostęp do zarządzania obiektami zasad grupy (GPO) może stanowić znaczne ryzyko dla bezpieczeństwa. Na przykład, jeśli użytkownik taki jak offense\spotless otrzymał uprawnienia do zarządzania GPO, może posiadać przywileje takie jak WriteProperty, WriteDacl i WriteOwner. Te uprawnienia mogą być wykorzystane w celach złośliwych, jak zidentyfikowano za pomocą PowerView: bash Get-ObjectAcl -ResolveGUIDs | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
Wyliczanie Uprawnień GPO
Aby zidentyfikować źle skonfigurowane GPO, można łańcuchować cmdlety PowerSploit. Pozwala to na odkrycie GPO, którymi określony użytkownik ma uprawnienia do zarządzania: powershell Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name} | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
Komputery z Zastosowaną Określoną Zasadą: Można ustalić, do których komputerów jest stosowana określona GPO, co pomaga zrozumieć zakres potencjalnego wpływu. powershell Get-NetOU -GUID "{DDC640FF-634A-4442-BC2E-C05EED132F0C}" | % {Get-NetComputer -ADSpath $_}
Zasady Stosowane do Określonego Komputera: Aby zobaczyć, jakie zasady są stosowane do konkretnego komputera, można użyć poleceń takich jak Get-DomainGPO.
OU z Zastosowaną Określoną Zasadą: Identyfikacja jednostek organizacyjnych (OU), na które wpływa określona zasada, może być dokonana za pomocą Get-DomainOU.
Wykorzystanie GPO - New-GPOImmediateTask
Źle skonfigurowane GPO mogą być wykorzystane do wykonania kodu, na przykład poprzez utworzenie natychmiastowego zaplanowanego zadania. Można to zrobić, aby dodać użytkownika do grupy administratorów lokalnych na dotkniętych maszynach, znacząco podnosząc uprawnienia:
Moduł GroupPolicy - Nadużycie GPO
Moduł GroupPolicy, jeśli zainstalowany, umożliwia tworzenie i łączenie nowych GPO oraz ustawianie preferencji, takich jak wartości rejestru, w celu uruchomienia tylnych drzwi na dotkniętych komputerach. Ta metoda wymaga aktualizacji GPO i zalogowania użytkownika do komputera w celu wykonania:
SharpGPOAbuse - Wykorzystanie GPO
SharpGPOAbuse oferuje metodę wykorzystania istniejących GPO poprzez dodawanie zadań lub modyfikowanie ustawień bez konieczności tworzenia nowych GPO. Narzędzie to wymaga modyfikacji istniejących GPO lub użycia narzędzi RSAT do tworzenia nowych przed zastosowaniem zmian:
Wymuś aktualizację zasad
Aktualizacje GPO zazwyczaj występują co około 90 minut. Aby przyspieszyć ten proces, zwłaszcza po wprowadzeniu zmian, można użyć polecenia gpupdate /force na komputerze docelowym, aby wymusić natychmiastową aktualizację zasad. To polecenie zapewnia, że wszelkie modyfikacje GPO zostaną zastosowane bez czekania na kolejny cykl automatycznej aktualizacji.
Pod maską
Po przejrzeniu Zaplanowanych zadań dla określonego GPO, takiego jak Misconfigured Policy, można potwierdzić dodanie zadań takich jak evilTask. Te zadania są tworzone za pomocą skryptów lub narzędzi wiersza poleceń, które mają na celu modyfikację zachowania systemu lub eskalację uprawnień.
Struktura zadania, jak pokazano w pliku konfiguracji XML wygenerowanym przez New-GPOImmediateTask, przedstawia szczegóły zaplanowanego zadania - w tym polecenie do wykonania i jego wyzwalacze. Ten plik przedstawia, jak zdefiniowane są i zarządzane zaplanowane zadania w GPO, dostarczając metody wykonania dowolnych poleceń lub skryptów w ramach egzekwowania zasad.
Użytkownicy i grupy
GPO umożliwia również manipulację członkostwem użytkowników i grup na systemach docelowych. Poprzez bezpośrednią edycję plików zasad Użytkowników i Grup, atakujący mogą dodać użytkowników do uprzywilejowanych grup, takich jak lokalna grupa administratorzy. Jest to możliwe poprzez delegowanie uprawnień do zarządzania GPO, co pozwala na modyfikację plików zasad w celu dodania nowych użytkowników lub zmiany członkostwa w grupach.
Plik konfiguracji XML dla Użytkowników i Grup przedstawia, w jaki sposób te zmiany są wdrażane. Poprzez dodawanie wpisów do tego pliku, określeni użytkownicy mogą otrzymać podwyższone uprawnienia na dotkniętych systemach. Ta metoda oferuje bezpośrednie podejście do eskalacji uprawnień poprzez manipulację GPO.
Ponadto, dodatkowe metody wykonania kodu lub utrzymania trwałości, takie jak wykorzystanie skryptów logowania/wylogowania, modyfikacja kluczy rejestru dla autostartu, instalowanie oprogramowania za pomocą plików .msi lub edycja konfiguracji usług, również mogą być brane pod uwagę. Te techniki zapewniają różne sposoby utrzymania dostępu i kontrolowania systemów docelowych poprzez nadużycie GPO.
Referencje
Last updated