Privileged Groups
Vikundi Maarufu vyenye Mamlaka ya Utawala
Waadiministrators
Waadamin wa Kikoa
Waadamin wa Kampuni
Waendeshaji wa Akaunti
Kikundi hiki kina uwezo wa kuunda akaunti na vikundi ambavyo sio waadiministrators kwenye kikoa. Aidha, kinawezesha kuingia kwa ndani kwenye Kudhibiti Kikoa (DC).
Ili kutambua wanachama wa kikundi hiki, amri ifuatayo inatekelezwa:
Kuongeza watumiaji wapya kunaruhusiwa, pamoja na kuingia kwa ndani kwenye DC01.
Kikundi cha AdminSDHolder
Orodha ya Udhibiti wa Upatikanaji (ACL) ya kikundi cha AdminSDHolder ni muhimu kwani inaweka ruhusa kwa "vikundi vilivyolindwa" vyote ndani ya Active Directory, ikiwa ni pamoja na vikundi vya hali ya juu. Mfumo huu unahakikisha usalama wa vikundi hivi kwa kuzuia mabadiliko yasiyoruhusiwa.
Mshambuliaji anaweza kutumia hili kwa kubadilisha ACL ya kikundi cha AdminSDHolder, kutoa ruhusa kamili kwa mtumiaji wa kawaida. Hii itampa mtumiaji huyo udhibiti kamili juu ya vikundi vyote vilivyolindwa. Ikiwa ruhusa za mtumiaji huyu zimebadilishwa au kuondolewa, zitarudishwa kiotomatiki ndani ya saa moja kutokana na muundo wa mfumo.
Amri za kukagua wanachama na kubadilisha ruhusa ni:
Kuna skripti inapatikana kuharakisha mchakato wa kurejesha: Invoke-ADSDPropagation.ps1.
Kwa maelezo zaidi, tembelea ired.team.
AD Recycle Bin
Uanachama katika kikundi hiki unaruhusu kusoma vitu vilivyofutwa katika Active Directory, ambavyo vinaweza kufichua habari nyeti:
Upatikanaji wa Msimamizi wa Kikoa
Upatikanaji wa faili kwenye DC umefungwa isipokuwa mtumiaji ni sehemu ya kikundi cha Server Operators
, ambacho hubadilisha kiwango cha upatikanaji.
Kuongeza Uwezo wa Haki
Kwa kutumia PsService
au sc
kutoka Sysinternals, mtu anaweza kukagua na kurekebisha ruhusa za huduma. Kikundi cha Server Operators
, kwa mfano, kina udhibiti kamili juu ya huduma fulani, kuruhusu utekelezaji wa amri za kiholela na kuongeza uwezo wa haki.
Amri hii inaonyesha kuwa Server Operators
wana ufikiaji kamili, kuruhusu ujanja wa huduma kwa mamlaka zilizoongezeka.
Waendeshaji wa Nakala za Hifadhi
Uanachama katika kikundi cha Backup Operators
hutoa ufikiaji kwa mfumo wa faili wa DC01
kutokana na mamlaka za SeBackup
na SeRestore
. Mamlaka hizi huruhusu uwezo wa kupitisha folda, kuorodhesha, na kunakili faili, hata bila idhini wazi, kwa kutumia bendera ya FILE_FLAG_BACKUP_SEMANTICS
. Kutumia hati maalum ni muhimu kwa mchakato huu.
Ili kuorodhesha wanachama wa kikundi, tekeleza:
Shambulizi la Ndani
Kuimarisha mamlaka haya kwa ndani, hatua zifuatazo zinatumika:
Ingiza maktaba muhimu:
Wezesha na thibitisha
SeBackupPrivilege
:
Pata na nakili faili kutoka kwenye folda zilizozuiwa, kwa mfano:
Shambulizi la AD
Upatikanaji wa moja kwa moja kwenye mfumo wa faili wa Domain Controller unaruhusu wizi wa database ya NTDS.dit
, ambayo ina hash zote za NTLM kwa watumiaji na kompyuta za kikoa.
Kutumia diskshadow.exe
Unda nakala ya kivuli ya diski ya
C
:
Nakili
NTDS.dit
kutoka kwa nakala ya kivuli:
Badilisha, tumia robocopy
kwa nakala ya faili:
Chukua
SYSTEM
naSAM
ili kupata hash:
Pata hash zote kutoka kwenye
NTDS.dit
:
Kutumia wbadmin.exe
Weka mfumo wa faili wa NTFS kwa seva ya SMB kwenye kifaa cha mshambuliaji na weka siri za SMB kwenye kifaa cha lengo.
Tumia
wbadmin.exe
kwa ajili ya kuhifadhi mfumo na kuchotaNTDS.dit
:
Kwa onyesho la vitendo, angalia VIDEO YA ONYESHO NA IPPSEC.
DnsAdmins
Wanachama wa kikundi cha DnsAdmins wanaweza kutumia mamlaka yao kuweka DLL yoyote na mamlaka ya SYSTEM kwenye seva ya DNS, mara nyingi iliyoandaliwa kwenye Wadhibiti wa Kikoa. Uwezo huu unaruhusu uwezekano mkubwa wa uvamizi.
Kutaja wanachama wa kikundi cha DnsAdmins, tumia:
Tekeleza DLL yoyote
Wanachama wanaweza kufanya seva ya DNS iweke DLL yoyote (kutoka kwenye kompyuta au kwenye sehemu ya mbali) kwa kutumia amri kama vile:
Kuanzisha tena huduma ya DNS (ambayo inaweza kuhitaji ruhusa za ziada) ni muhimu ili DLL iweze kupakia:
Kwa maelezo zaidi kuhusu njia hii ya shambulio, tazama ired.team.
Mimilib.dll
Pia ni rahisi kutumia mimilib.dll kwa utekelezaji wa amri, kwa kubadilisha ili itekeleze amri maalum au reverse shells. Angalia chapisho hili kwa maelezo zaidi.
WPAD Rekodi kwa MitM
DnsAdmins wanaweza kudanganya rekodi za DNS ili kufanya mashambulio ya Man-in-the-Middle (MitM) kwa kuunda rekodi ya WPAD baada ya kuzima orodha ya kuzuia maswali ya ulimwengu. Zana kama Responder au Inveigh zinaweza kutumika kwa kudanganya na kukamata trafiki ya mtandao.
Wasomaji wa Kumbukumbu za Matukio
Wanachama wanaweza kupata ufikiaji wa kumbukumbu za matukio, ambapo wanaweza kupata habari nyeti kama vile nywila za wazi au maelezo ya utekelezaji wa amri:
Ubadilishaji wa Ruhusa za Windows za Kubadilishana
Kikundi hiki kinaweza kubadilisha DACLs kwenye kipengele cha kikoa, kwa uwezekano wa kutoa ruhusa za DCSync. Mbinu za kuongeza mamlaka kwa kutumia kikundi hiki zimefafanuliwa kwa undani katika hazina ya GitHub ya Kubadilishana-AD-Privesc.
Wamiliki wa Hyper-V
Wamiliki wa Hyper-V wana ufikiaji kamili wa Hyper-V, ambao unaweza kutumiwa kudhibiti Wadhibiti wa Kikoa vilivyovirtualishwa. Hii ni pamoja na kuiga DC za moja kwa moja na kuchukua NTLM hashes kutoka faili ya NTDS.dit.
Mfano wa Udukuzi
Mozilla Maintenance Service ya Firefox inaweza kutumiwa na Wamiliki wa Hyper-V kutekeleza amri kama SYSTEM. Hii inahusisha kuunda kiunga ngumu kwa faili ya SYSTEM iliyolindwa na kuiweka na programu mbaya:
Maelezo: Uchunguzi wa Hard link umepunguzwa katika sasisho za hivi karibuni za Windows.
Usimamizi wa Shirika
Katika mazingira ambapo Microsoft Exchange imeanzishwa, kuna kikundi maalum kinachojulikana kama Usimamizi wa Shirika ambacho kina uwezo mkubwa. Kikundi hiki kina ruhusa ya kufikia sanduku la barua za watumiaji wote wa kikoa na kinadumisha udhibiti kamili juu ya Kitengo cha Shirika cha 'Microsoft Exchange Security Groups'. Udhibiti huu ni pamoja na kikundi cha Exchange Windows Permissions
, ambacho kinaweza kutumiwa kwa ajili ya kuongeza mamlaka.
Uchumi wa Mamlaka na Amri
Waendeshaji wa Uchapishaji
Wanachama wa kikundi cha Waendeshaji wa Uchapishaji wana haki kadhaa, ikiwa ni pamoja na SeLoadDriverPrivilege
, ambayo inawaruhusu kuingia kwenye mfumo wa Domain Controller, kuuzima, na kusimamia printers. Ili kutumia mamlaka haya, hasa ikiwa SeLoadDriverPrivilege
haionekani chini ya muktadha usio na uwezo, ni lazima kuepuka Udhibiti wa Akaunti ya Mtumiaji (UAC).
Kutaja wanachama wa kikundi hiki, tumia amri ifuatayo ya PowerShell:
Kwa mbinu za kudukua zaidi zinazohusiana na SeLoadDriverPrivilege
, mtu anapaswa kushauriana na rasilimali maalum za usalama.
Watumiaji wa Mbali wa Desktop
Wanachama wa kikundi hiki wanapewa ufikiaji kwenye PC kupitia Itifaki ya Mbali ya Desktop (RDP). Kwa kuchunguza wanachama hawa, amri za PowerShell zinapatikana:
Maelezo zaidi kuhusu kuchexploitisha RDP yanaweza kupatikana katika rasilimali maalum za pentesting.
Watumiaji wa Usimamizi wa Mbali
Wanachama wanaweza kupata kompyuta kupitia Windows Remote Management (WinRM). Uchunguzi wa wanachama hawa unafanikiwa kupitia:
Kwa mbinu za kudukua zinazohusiana na WinRM, ni lazima kushauriana na hati maalum.
Waendeshaji wa Seva
Kikundi hiki kina ruhusa ya kufanya mabadiliko mbalimbali kwenye Wadhibiti wa Kikoa, ikiwa ni pamoja na ruhusa za kuhifadhi na kurejesha nakala, kubadilisha wakati wa mfumo, na kuzima mfumo. Ili kupata orodha ya wanachama, tumia amri ifuatayo:
Marejeo
Last updated