Privileged Groups
Powszechnie znane grupy z uprawnieniami administracyjnymi
Administratorzy
Administratorzy domeny
Administratorzy przedsiębiorstwa
Operatorzy konta
Ta grupa ma uprawnienia do tworzenia kont i grup, które nie są administratorami domeny. Dodatkowo umożliwia lokalne logowanie do kontrolera domeny (DC).
Aby zidentyfikować członków tej grupy, wykonuje się następujące polecenie:
Dodawanie nowych użytkowników jest dozwolone, a także lokalne logowanie do DC01.
Grupa AdminSDHolder
Lista kontroli dostępu (ACL) grupy AdminSDHolder jest kluczowa, ponieważ ustawia uprawnienia dla wszystkich "chronionych grup" w Active Directory, w tym grup o wysokich uprawnieniach. Ten mechanizm zapewnia bezpieczeństwo tych grup, uniemożliwiając nieautoryzowane modyfikacje.
Atakujący może wykorzystać to, modyfikując ACL grupy AdminSDHolder, nadając pełne uprawnienia standardowemu użytkownikowi. Spowoduje to efektywne nadanie temu użytkownikowi pełnej kontroli nad wszystkimi chronionymi grupami. Jeśli uprawnienia tego użytkownika zostaną zmienione lub usunięte, zostaną automatycznie przywrócone w ciągu godziny ze względu na projekt systemu.
Polecenia do przeglądania członków i modyfikowania uprawnień obejmują:
Dostępny jest skrypt, który przyspiesza proces przywracania: Invoke-ADSDPropagation.ps1.
Aby uzyskać więcej szczegółów, odwiedź ired.team.
Kosz Active Directory
Członkostwo w tej grupie umożliwia odczyt usuniętych obiektów Active Directory, co może ujawnić poufne informacje:
Dostęp do kontrolera domeny
Dostęp do plików na kontrolerze domeny jest ograniczony, chyba że użytkownik jest częścią grupy Operatorzy serwera
, co zmienia poziom dostępu.
Eskalacja uprawnień
Za pomocą narzędzi PsService
lub sc
z Sysinternals można sprawdzać i modyfikować uprawnienia usług. Grupa Operatorzy serwera
, na przykład, ma pełną kontrolę nad określonymi usługami, co umożliwia wykonywanie dowolnych poleceń i eskalację uprawnień:
Ten polecenie ujawnia, że Operatorzy serwera
mają pełny dostęp, umożliwiający manipulację usługami w celu uzyskania podwyższonych uprawnień.
Operatorzy kopii zapasowych
Członkostwo w grupie Operatorzy kopii zapasowych
umożliwia dostęp do systemu plików DC01
dzięki uprawnieniom SeBackup
i SeRestore
. Te uprawnienia umożliwiają nawigację po folderach, wyświetlanie listy i kopiowanie plików, nawet bez udzielonych uprawnień, przy użyciu flagi FILE_FLAG_BACKUP_SEMANTICS
. Do tego procesu konieczne jest użycie określonych skryptów.
Aby wyświetlić członków grupy, wykonaj:
Atak lokalny
Aby wykorzystać te uprawnienia lokalnie, stosuje się następujące kroki:
Importuj niezbędne biblioteki:
Włącz i zweryfikuj
SeBackupPrivilege
:
Więcej informacji na temat uprawnień tokena można znaleźć tutaj.
Uzyskaj dostęp i skopiuj pliki z ograniczonych katalogów, na przykład:
Atak na AD
Bezpośredni dostęp do systemu plików kontrolera domeny umożliwia kradzież bazy danych NTDS.dit
, która zawiera wszystkie hashe NTLM dla użytkowników i komputerów domeny.
Użycie diskshadow.exe
Utwórz kopię cienia dysku
C
:
Skopiuj
NTDS.dit
z kopii cienia:
Alternatywnie, użyj robocopy
do kopiowania plików:
Wyodrębnij
SYSTEM
iSAM
w celu odzyskania hasha:
Pobierz wszystkie hashe z pliku
NTDS.dit
:
Używanie wbadmin.exe
Skonfiguruj system plików NTFS dla serwera SMB na maszynie atakującej i zapisz dane uwierzytelniające SMB na maszynie docelowej.
Użyj
wbadmin.exe
do tworzenia kopii zapasowej systemu i ekstrakcji plikuNTDS.dit
:
Aby zobaczyć praktyczną demonstrację, zobacz FILM DEMONSTRACYJNY Z IPPSEC.
DnsAdmins
Członkowie grupy DnsAdmins mogą wykorzystać swoje uprawnienia do załadowania dowolnej biblioteki DLL z uprawnieniami SYSTEM na serwerze DNS, który często jest hostowany na kontrolerach domeny. Ta zdolność daje duży potencjał do wykorzystania.
Aby wyświetlić członków grupy DnsAdmins, użyj:
Wykonaj dowolną DLL
Członkowie mogą sprawić, że serwer DNS załaduje dowolną DLL (lokalnie lub z udziału zdalnego) za pomocą poleceń takich jak:
Konieczne jest ponowne uruchomienie usługi DNS (co może wymagać dodatkowych uprawnień), aby załadować plik DLL:
Aby uzyskać więcej szczegółów na temat tego wektora ataku, odwołaj się do ired.team.
Mimilib.dll
Możliwe jest również użycie mimilib.dll do wykonania poleceń, modyfikując go w celu wykonania określonych poleceń lub odwrócenia powłoki. Sprawdź ten post dla więcej informacji.
Rekord WPAD dla ataku MitM
DnsAdmins mogą manipulować rekordami DNS w celu przeprowadzenia ataków typu Man-in-the-Middle (MitM), tworząc rekord WPAD po wyłączeniu globalnej listy blokowania zapytań. Narzędzia takie jak Responder lub Inveigh mogą być używane do podszywania się i przechwytywania ruchu sieciowego.
Czytelnicy dziennika zdarzeń
Członkowie mogą uzyskać dostęp do dzienników zdarzeń, potencjalnie znajdując wrażliwe informacje, takie jak hasła w postaci tekstowej lub szczegóły wykonania poleceń:
Uprawnienia systemu Windows dla Exchange
Ta grupa może modyfikować DACL na obiekcie domeny, co potencjalnie umożliwia przyznanie uprawnień DCSync. Techniki eskalacji uprawnień wykorzystujące tę grupę są szczegółowo opisane w repozytorium GitHub Exchange-AD-Privesc.
Administratorzy Hyper-V
Administratorzy Hyper-V mają pełny dostęp do Hyper-V, co można wykorzystać do przejęcia kontroli nad wirtualnymi kontrolerami domeny. Obejmuje to klonowanie aktywnych kontrolerów domeny i wydobywanie skrótów NTLM z pliku NTDS.dit.
Przykład wykorzystania
Usługa konserwacji Mozilli Firefox może zostać wykorzystana przez administratorów Hyper-V do wykonania poleceń jako SYSTEM. Polega to na utworzeniu twardego linku do chronionego pliku SYSTEM i zastąpieniu go złośliwym plikiem wykonywalnym:
Zarządzanie organizacją
W środowiskach, w których jest wdrożony Microsoft Exchange, istnieje specjalna grupa o nazwie Organization Management, która posiada znaczące uprawnienia. Ta grupa ma uprzywilejowany dostęp do skrzynek pocztowych wszystkich użytkowników domeny oraz pełną kontrolę nad jednostką organizacyjną (OU) 'Microsoft Exchange Security Groups'. Ta kontrola obejmuje grupę Exchange Windows Permissions
, która może być wykorzystana do eskalacji uprawnień.
Wykorzystanie uprawnień i polecenia
Operatorzy drukowania
Członkowie grupy Operatorzy drukowania mają wiele uprawnień, w tym SeLoadDriverPrivilege
, które pozwala im zalogować się lokalnie do kontrolera domeny, wyłączyć go i zarządzać drukarkami. Aby wykorzystać te uprawnienia, zwłaszcza jeśli SeLoadDriverPrivilege
nie jest widoczne w kontekście bez podniesienia uprawnień, konieczne jest obejście Kontroli Konta Użytkownika (UAC).
Aby wyświetlić członków tej grupy, używane jest następujące polecenie PowerShell:
Aby uzyskać bardziej szczegółowe techniki eksploatacji związane z SeLoadDriverPrivilege
, należy skonsultować się z konkretnymi zasobami dotyczącymi bezpieczeństwa.
Użytkownicy zdalnego pulpitu
Członkowie tej grupy mają dostęp do komputerów za pośrednictwem protokołu zdalnego pulpitu (RDP). Aby wyliczyć tych członków, dostępne są polecenia PowerShell:
Dalsze informacje na temat wykorzystywania RDP można znaleźć w dedykowanych zasobach do testowania penetracyjnego.
Użytkownicy zarządzania zdalnego
Członkowie mogą uzyskać dostęp do komputerów za pomocą Windows Remote Management (WinRM). Wyliczenie tych członków jest osiągane poprzez:
Do technik eksploatacji związanych z WinRM, należy skonsultować się z odpowiednią dokumentacją.
Operatorzy serwera
Ta grupa ma uprawnienia do wykonywania różnych konfiguracji na kontrolerach domeny, w tym uprawnień do tworzenia kopii zapasowych i przywracania, zmiany czasu systemowego oraz wyłączania systemu. Aby wyświetlić członków tej grupy, należy użyć polecenia:
Odwołania
Last updated