Privileged Groups
Dobro poznate grupe sa administratorskim privilegijama
Administrators
Domain Admins
Enterprise Admins
Account Operators
Ova grupa ima ovlašćenje da kreira naloge i grupe koje nisu administratori na domenu. Dodatno, omogućava lokalnu prijavu na Domain Controller (DC).
Da bi se identifikovali članovi ove grupe, izvršava se sledeća komanda:
Dodavanje novih korisnika je dozvoljeno, kao i lokalna prijava na DC01.
Grupa AdminSDHolder
Kontrolna lista pristupa (ACL) grupe AdminSDHolder je ključna jer postavlja dozvole za sve "zaštićene grupe" unutar Active Directory-ja, uključujući grupe sa visokim privilegijama. Ovaj mehanizam osigurava sigurnost ovih grupa sprečavajući neovlaštene izmjene.
Napadač bi mogao iskoristiti ovo tako što bi izmijenio ACL grupe AdminSDHolder, dodjeljujući punu dozvolu standardnom korisniku. To bi efektivno dalo tom korisniku potpunu kontrolu nad svim zaštićenim grupama. Ako se dozvole ovog korisnika promijene ili uklone, one će se automatski obnoviti u roku od jednog sata zbog dizajna sistema.
Komande za pregled članova i izmjenu dozvola uključuju:
Skripta je dostupna kako bi se ubrzao proces obnove: Invoke-ADSDPropagation.ps1.
Za više detalja, posetite ired.team.
AD Recycle Bin
Članstvo u ovoj grupi omogućava čitanje izbrisanih objekata u Active Directory-ju, što može otkriti osetljive informacije:
Pristup kontroleru domena
Pristup datotekama na DC-u je ograničen osim ako korisnik nije deo grupe Server Operators
, što menja nivo pristupa.
Eskalacija privilegija
Korišćenjem PsService
ili sc
alata iz Sysinternals-a, moguće je pregledati i izmeniti dozvole servisa. Na primer, grupa Server Operators
ima potpunu kontrolu nad određenim servisima, omogućavajući izvršavanje proizvoljnih komandi i eskalaciju privilegija:
Ova komanda otkriva da Server Operators
imaju pun pristup, omogućavajući manipulaciju servisima za povišene privilegije.
Backup Operators
Članstvo u grupi Backup Operators
omogućava pristup fajl sistemu DC01
zbog privilegija SeBackup
i SeRestore
. Ove privilegije omogućavaju prolazak kroz foldere, listanje i kopiranje fajlova, čak i bez eksplicitnih dozvola, koristeći flag FILE_FLAG_BACKUP_SEMANTICS
. Za ovaj proces je neophodno koristiti određene skripte.
Za listanje članova grupe, izvršite:
Lokalni napad
Da biste iskoristili ove privilegije lokalno, koriste se sledeći koraci:
Uvoz potrebnih biblioteka:
Omogućite i proverite
SeBackupPrivilege
:
Nakon što ste omogućili SeBackupPrivilege
, korisnici ili grupe koje ste dodali će imati privilegiju rezervne kopije fajlova i direktorijuma. Ovo pravo omogućava korisnicima da pristupe i naprave rezervne kopije fajlova i direktorijuma za koje inače nemaju pristup.
Pristupite i kopirajte fajlove iz ograničenih direktorijuma, na primer:
AD Napad
Direktan pristup fajl sistemu kontrolera domena omogućava krađu baze podataka NTDS.dit
, koja sadrži sve NTLM heševe za korisnike i računare domena.
Korišćenje diskshadow.exe
Kreirajte senku (
shadow copy
) diskaC
:
Kopirajte
NTDS.dit
iz sjenovite kopije:
Alternativno, koristite robocopy
za kopiranje fajlova:
Izvucite
SYSTEM
iSAM
za dobijanje heša:
Preuzmite sve hešove iz
NTDS.dit
fajla:
Korišćenje wbadmin.exe
Podesite NTFS datotečni sistem za SMB server na napadačkom računaru i keširajte SMB akreditive na ciljnom računaru.
Koristite
wbadmin.exe
za sistemsko bekapovanje i ekstrakcijuNTDS.dit
:
Za praktičnu demonstraciju, pogledajte DEMO VIDEO SA IPPSEC-om.
DnsAdmins
Članovi grupe DnsAdmins mogu iskoristiti svoje privilegije da učitaju proizvoljni DLL fajl sa privilegijama sistema na DNS serveru, koji se često nalazi na kontrolerima domena. Ova mogućnost pruža značajan potencijal za eksploataciju.
Za listanje članova grupe DnsAdmins, koristite:
Izvršavanje proizvoljnog DLL-a
Članovi mogu naterati DNS server da učita proizvoljni DLL (bilo lokalno ili sa udaljenog deljenog resursa) koristeći komande kao što su:
Pokretanje DNS servisa (što može zahtevati dodatne dozvole) je neophodno da bi se DLL učitao:
Za više detalja o ovom vektoru napada, pogledajte ired.team.
Mimilib.dll
Takođe je izvodljivo koristiti mimilib.dll za izvršavanje komandi, modifikujući je da izvršava određene komande ili reverzne školjke. Proverite ovaj post za više informacija.
WPAD zapis za MitM
DnsAdmins mogu manipulisati DNS zapisima kako bi izveli napade Man-in-the-Middle (MitM) stvaranjem WPAD zapisa nakon onemogućavanja globalne liste blokiranja upita. Alati poput Responder-a ili Inveigh-a mogu se koristiti za spoofing i snimanje mrežnog saobraćaja.
Čitači evidencija događaja
Članovi mogu pristupiti evidencijama događaja, potencijalno pronalazeći osetljive informacije poput lozinki u obliku čistog teksta ili detalja o izvršavanju komandi:
Exchange Windows Dozvole
Ova grupa može izmeniti DACL-ove na objektu domena, potencijalno dodeljujući privilegije DCSync. Tehnike za eskalaciju privilegija koje iskorišćavaju ovu grupu detaljno su opisane u Exchange-AD-Privesc GitHub repozitorijumu.
Hyper-V Administratori
Hyper-V Administratori imaju potpuni pristup Hyper-V-u, što se može iskoristiti za preuzimanje kontrole nad virtualizovanim kontrolerima domena. To uključuje kloniranje aktivnih kontrolera domena i izvlačenje NTLM heševa iz NTDS.dit datoteke.
Primer iskorišćavanja
Hyper-V Administratori mogu iskoristiti Firefox-ov Mozilla Maintenance Service da izvrše komande kao SYSTEM. To uključuje kreiranje tvrdog linka ka zaštićenoj SYSTEM datoteci i zamenjivanje iste zlonamernim izvršnim fajlom:
Napomena: Iskorišćavanje hard linkova je sprečeno u najnovijim Windows ažuriranjima.
Upravljanje organizacijom
U okruženjima gde je implementiran Microsoft Exchange, postoji posebna grupa poznata kao Organization Management koja ima značajne mogućnosti. Ova grupa ima privilegiju pristupa poštanskim sandučićima svih korisnika domena i održava potpunu kontrolu nad Organizacionom jedinicom (OU) 'Microsoft Exchange Security Groups'. Ova kontrola uključuje grupu Exchange Windows Permissions
, koja se može iskoristiti za eskalaciju privilegija.
Iskorišćavanje privilegija i komande
Print Operators
Članovi grupe Print Operators imaju nekoliko privilegija, uključujući SeLoadDriverPrivilege
, koji im omogućava da se prijave lokalno na kontroler domena, ga isključe i upravljaju štampačima. Da bi se iskoristile ove privilegije, posebno ako SeLoadDriverPrivilege
nije vidljiv u kontekstu bez povišenih privilegija, neophodno je zaobići Kontrolu korisničkog naloga (UAC).
Za prikazivanje članova ove grupe koristi se sledeća PowerShell komanda:
Za detaljnije tehnike eksploatacije vezane za SeLoadDriverPrivilege
, trebalo bi se konsultovati određene sigurnosne resurse.
Korisnici udaljenog radnog prostora
Članovi ove grupe imaju pristup računarima putem protokola za udaljeni radni prostor (RDP). Za enumeraciju ovih članova dostupne su PowerShell komande:
Dodatne informacije o iskorišćavanju RDP-a mogu se pronaći u posebnim resursima za pentestiranje.
Korisnici za daljinsko upravljanje
Članovi mogu pristupiti računarima putem Windows Remote Management (WinRM). Nabrojavanje ovih članova postiže se putem:
Za tehnike eksploatacije vezane za WinRM, treba se konsultovati odgovarajuća dokumentacija.
Server Operators
Ova grupa ima dozvole za izvršavanje različitih konfiguracija na kontrolerima domena, uključujući privilegije za backup i restore, promenu vremena sistema i gašenje sistema. Za enumeraciju članova, koristi se sledeća komanda:
Reference
Last updated