Privileged Groups
Well Known groups with administration privileges
Wasimamizi
Wasimamizi wa Kikoa
Wasimamizi wa Biashara
Account Operators
Kikundi hiki kina uwezo wa kuunda akaunti na vikundi ambavyo si wasimamizi kwenye kikoa. Zaidi ya hayo, kinaruhusu kuingia kwa ndani kwenye Kituo cha Kikoa (DC).
Ili kubaini wanachama wa kikundi hiki, amri ifuatayo inatekelezwa:
Adding new users is permitted, as well as local login to DC01.
AdminSDHolder group
The AdminSDHolder group's Access Control List (ACL) ni muhimu kwani inaweka ruhusa kwa "makundi yaliyolindwa" ndani ya Active Directory, ikiwa ni pamoja na makundi yenye mamlaka ya juu. Mekanismu hii inahakikisha usalama wa makundi haya kwa kuzuia mabadiliko yasiyoruhusiwa.
Mshambuliaji anaweza kutumia hii kwa kubadilisha ACL ya AdminSDHolder kundi, akitoa ruhusa kamili kwa mtumiaji wa kawaida. Hii itampa mtumiaji huyo udhibiti kamili juu ya makundi yote yaliyolindwa. Ikiwa ruhusa za mtumiaji huyu zitabadilishwa au kuondolewa, zitarudishwa kiotomatiki ndani ya saa moja kutokana na muundo wa mfumo.
Commands to review the members and modify permissions include:
A script is available to expedite the restoration process: Invoke-ADSDPropagation.ps1.
For more details, visit ired.team.
AD Recycle Bin
Uanachama katika kundi hili unaruhusu kusoma vitu vilivyofutwa vya Active Directory, ambavyo vinaweza kufichua taarifa nyeti:
Domain Controller Access
Upatikanaji wa faili kwenye DC umepunguziliwa mbali isipokuwa mtumiaji ni sehemu ya kundi la Server Operators
, ambalo hubadilisha kiwango cha upatikanaji.
Privilege Escalation
Kwa kutumia PsService
au sc
kutoka Sysinternals, mtu anaweza kukagua na kubadilisha ruhusa za huduma. Kundi la Server Operators
, kwa mfano, lina udhibiti kamili juu ya huduma fulani, kuruhusu utekelezaji wa amri zisizo na mipaka na kupandisha hadhi:
Hii amri inaonyesha kwamba Server Operators
wana ufikiaji kamili, ikiruhusu usimamizi wa huduma kwa ajili ya haki za juu.
Backup Operators
Uanachama katika kundi la Backup Operators
unatoa ufikiaji wa mfumo wa faili wa DC01
kutokana na haki za SeBackup
na SeRestore
. Hizi haki zinaruhusu kupita kwenye folda, kuorodhesha, na uwezo wa kunakili faili, hata bila ruhusa maalum, kwa kutumia bendera ya FILE_FLAG_BACKUP_SEMANTICS
. Kutumia skripti maalum ni muhimu kwa mchakato huu.
Ili kuorodhesha wanachama wa kundi, tekeleza:
Local Attack
Ili kutumia haki hizi kwa ndani, hatua zifuatazo zinatumika:
Ingiza maktaba muhimu:
Wezesha na thibitisha
SeBackupPrivilege
:
Pata na nakili faili kutoka kwa saraka zilizozuiliwa, kwa mfano:
AD Attack
Upatikanaji wa moja kwa moja wa mfumo wa faili wa Domain Controller unaruhusu wizi wa database ya NTDS.dit
, ambayo ina hash zote za NTLM za watumiaji na kompyuta za eneo.
Using diskshadow.exe
Tengeneza nakala ya kivuli ya diski ya
C
:
Nakili
NTDS.dit
kutoka kwa nakala ya kivuli:
Kwa upande mwingine, tumia robocopy
kwa ajili ya nakala za faili:
Toa
SYSTEM
naSAM
kwa ajili ya kupata hash:
Pata hash zote kutoka
NTDS.dit
:
Kutumia wbadmin.exe
Weka mfumo wa faili wa NTFS kwa seva ya SMB kwenye mashine ya mshambuliaji na uhifadhi akiba ya akreditivu za SMB kwenye mashine lengwa.
Tumia
wbadmin.exe
kwa ajili ya nakala ya mfumo na uchimbaji waNTDS.dit
:
Kwa maonyesho ya vitendo, angalia VIDEO YA DEMO NA IPPSEC.
DnsAdmins
Wajumbe wa kundi la DnsAdmins wanaweza kutumia mamlaka yao kupakia DLL isiyo na mipaka yenye mamlaka ya SYSTEM kwenye seva ya DNS, mara nyingi inayoendeshwa kwenye Wajenzi wa Kikoa. Uwezo huu unaruhusu uwezekano mkubwa wa unyakuzi.
Ili kuorodhesha wajumbe wa kundi la DnsAdmins, tumia:
Execute arbitrary DLL
Wajumbe wanaweza kufanya seva ya DNS ipakue DLL isiyo ya kawaida (iwe kwa ndani au kutoka kwa sehemu ya mbali) kwa kutumia amri kama:
Kuanza upya huduma ya DNS (ambayo inaweza kuhitaji ruhusa za ziada) ni muhimu ili DLL iweze kupakiwa:
For more details on this attack vector, refer to ired.team.
Mimilib.dll
Ni rahisi pia kutumia mimilib.dll kwa ajili ya utekelezaji wa amri, kuibadilisha ili kutekeleza amri maalum au shells za kurudi. Check this post for more information.
WPAD Record for MitM
DnsAdmins wanaweza kubadilisha rekodi za DNS ili kufanya mashambulizi ya Man-in-the-Middle (MitM) kwa kuunda rekodi ya WPAD baada ya kuzima orodha ya kuzuia maswali ya kimataifa. Zana kama Responder au Inveigh zinaweza kutumika kwa ajili ya kudanganya na kukamata trafiki ya mtandao.
### Event Log Readers Wajumbe wanaweza kufikia kumbukumbu za matukio, huenda wakapata taarifa nyeti kama vile nywila za maandiko au maelezo ya utekelezaji wa amri:
Exchange Windows Permissions
Kikundi hiki kinaweza kubadilisha DACLs kwenye kituo cha kikoa, huenda kikatoa haki za DCSync. Mbinu za kupandisha hadhi zinazotumia kikundi hiki zimeelezewa katika repo ya Exchange-AD-Privesc ya GitHub.
Wataalam wa Hyper-V
Wataalam wa Hyper-V wana ufaccess kamili kwa Hyper-V, ambayo inaweza kutumika kupata udhibiti wa Wataalam wa Kikoa wa virtualized. Hii inajumuisha kunakili DCs za moja kwa moja na kutoa NTLM hashes kutoka kwa faili ya NTDS.dit.
Mfano wa Kutumia
Huduma ya Matengenezo ya Mozilla ya Firefox inaweza kutumika na Wataalam wa Hyper-V kutekeleza amri kama SYSTEM. Hii inahusisha kuunda kiungo kigumu kwa faili ya SYSTEM iliyolindwa na kuibadilisha na executable mbaya:
Note: Ukatili wa kiungo kigumu umepunguziliwa mbali katika sasisho za hivi karibuni za Windows.
Usimamizi wa Shirika
Katika mazingira ambapo Microsoft Exchange imewekwa, kundi maalum linalojulikana kama Usimamizi wa Shirika lina uwezo mkubwa. Kundi hili lina haki ya kufikia sanduku la barua la watumiaji wote wa kikoa na lina udhibiti kamili juu ya 'Makundi ya Usalama ya Microsoft Exchange' Kitengo cha Shirika (OU). Udhibiti huu unajumuisha kundi la Exchange Windows Permissions
, ambalo linaweza kutumika kwa ajili ya kupandisha hadhi.
Ukatili wa Haki na Amri
Opereta wa Print
Wajumbe wa kundi la Opereta wa Print wanapewa haki kadhaa, ikiwa ni pamoja na SeLoadDriverPrivilege
, ambayo inawaruhusu kuingia kwa ndani kwenye Kidhibiti cha Kikoa, kuifunga, na kusimamia printa. Ili kutumia haki hizi, hasa ikiwa SeLoadDriverPrivilege
haionekani chini ya muktadha usio na kiwango cha juu, kupita Udhibiti wa Akaunti ya Mtumiaji (UAC) ni muhimu.
Ili kuorodhesha wajumbe wa kundi hili, amri ifuatayo ya PowerShell inatumika:
Kwa mbinu za kina za unyakuzi zinazohusiana na SeLoadDriverPrivilege
, mtu anapaswa kutafuta rasilimali maalum za usalama.
Watumiaji wa Desktop ya Kijijini
Wajumbe wa kundi hili wanapewa ufikiaji wa PCs kupitia Protokali ya Desktop ya Kijijini (RDP). Ili kuhesabu wajumbe hawa, amri za PowerShell zinapatikana:
Zaidi ya ufahamu kuhusu kutumia RDP yanaweza kupatikana katika rasilimali maalum za pentesting.
Watumiaji wa Usimamizi wa Kijijini
Wajumbe wanaweza kufikia PCs kupitia Windows Remote Management (WinRM). Uhesabuji wa wajumbe hawa unafanywa kupitia:
Kwa mbinu za unyakuzi zinazohusiana na WinRM, nyaraka maalum zinapaswa kutumika.
Wafanya Kazi wa Seva
Kikundi hiki kina ruhusa za kufanya usanidi mbalimbali kwenye Wajibu wa Kikoa, ikiwa ni pamoja na ruhusa za kuhifadhi na kurejesha, kubadilisha muda wa mfumo, na kuzima mfumo. Ili kuhesabu wanachama, amri iliyotolewa ni:
References
Last updated