Abusing Active Directory ACLs/ACEs
Bu sayfa, https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-active-directory-acls-aces ve https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges adreslerinden alınan tekniklerin özeti niteliğindedir. Daha fazla ayrıntı için orijinal makalelere bakın.
Kullanıcı Üzerinde GenericAll Hakları
Bu ayrıcalık, bir saldırgana hedef kullanıcı hesabı üzerinde tam kontrol sağlar. Get-ObjectAcl
komutu kullanılarak GenericAll
hakları onaylandıktan sonra, bir saldırgan:
Hedefin Şifresini Değiştirebilir:
net user <kullanıcı_adı> <şifre> /domain
komutunu kullanarak, saldırgan kullanıcının şifresini sıfırlayabilir.Hedefli Kerberoasting: Kullanıcının hesabına bir SPN atayarak kerberoastable hale getirin, ardından Rubeus ve targetedKerberoast.py kullanarak bilet verme biletinin (TGT) hash'lerini çıkartıp kırmaya çalışın.
Hedeflenmiş ASREPRoasting: Kullanıcı için ön kimlik doğrulamayı devre dışı bırakın, bu da hesabını ASREPRoasting'e karşı savunmasız hale getirir.
GenericAll Hakları Üzerinde Grup
Bu ayrıcalık, bir saldırganın Domain Admins
gibi bir grupta GenericAll
haklarına sahip olması durumunda grup üyeliklerini manipüle etmesine olanak tanır. Grubun ayırt edici adını Get-NetGroup
ile belirledikten sonra, saldırgan:
Kendilerini Domain Admins Grubuna Ekleyebilir: Bu, doğrudan komutlar veya Active Directory veya PowerSploit gibi modüller kullanılarak yapılabilir.
GenericAll / GenericWrite / Write on Computer/User
Bu yetkilere sahip olmak, bir bilgisayar nesnesi veya kullanıcı hesabında şunları sağlar:
Kerberos Resource-based Constrained Delegation: Bir bilgisayar nesnesini ele geçirmeyi sağlar.
Shadow Credentials: Bu tekniği, gölge kimlik bilgilerini oluşturma yetkilerini kullanarak bir bilgisayar veya kullanıcı hesabını taklit etmek için kullanın.
WriteProperty on Group
Bir kullanıcının belirli bir grup için (örneğin, Domain Admins
) tüm nesnelerde WriteProperty
hakları varsa, şunları yapabilirler:
Kendilerini Domain Admins Grubuna Eklemek:
net user
veAdd-NetGroupUser
komutlarını birleştirerek gerçekleştirilebilir, bu yöntem alan içinde ayrıcalık yükseltmesine olanak tanır.
Kendi (Kendi Üyeliği) Grubunda
Bu ayrıcalık, saldırganların Domain Admins
gibi belirli gruplara kendilerini eklemelerine olanak tanır; bu, grup üyeliğini doğrudan manipüle eden komutlar aracılığıyla gerçekleştirilir. Aşağıdaki komut dizisini kullanmak, kendini eklemeye olanak tanır:
WriteProperty (Kendi Üyeliği)
Benzer bir ayrıcalık olan bu, saldırganların grup özelliklerini değiştirerek kendilerini doğrudan gruplara eklemelerine olanak tanır; eğer bu gruplar üzerinde WriteProperty
hakkına sahipseler. Bu ayrıcalığın onayı ve uygulanması şu şekilde gerçekleştirilir:
ForceChangePassword
User-Force-Change-Password
için bir kullanıcı üzerinde ExtendedRight
tutmak, mevcut şifreyi bilmeden şifre sıfırlamalarına olanak tanır. Bu hakkın doğrulanması ve istismarı PowerShell veya alternatif komut satırı araçları aracılığıyla yapılabilir ve etkileşimli oturumlar ile etkileşimsiz ortamlar için tek satırlık komutlar dahil olmak üzere bir kullanıcının şifresini sıfırlamak için çeşitli yöntemler sunar. Komutlar, basit PowerShell çağrılarından Linux'ta rpcclient
kullanmaya kadar uzanarak saldırı vektörlerinin çok yönlülüğünü göstermektedir.
WriteOwner Üzerinde Grup
Eğer bir saldırgan WriteOwner
haklarına sahip olduğunu bulursa, grubun sahipliğini kendisine değiştirebilir. Bu, söz konusu grubun Domain Admins
olması durumunda özellikle etkilidir, çünkü sahipliği değiştirmek grup nitelikleri ve üyeliği üzerinde daha geniş bir kontrol sağlar. Süreç, Get-ObjectAcl
aracılığıyla doğru nesneyi tanımlamayı ve ardından sahibi değiştirmek için Set-DomainObjectOwner
kullanmayı içerir; bu, SID veya ad ile yapılabilir.
GenericWrite on User
Bu izin, bir saldırganın kullanıcı özelliklerini değiştirmesine olanak tanır. Özellikle, GenericWrite
erişimi ile saldırgan, bir kullanıcının oturum açma betiği yolunu değiştirerek kullanıcı oturum açtığında kötü niyetli bir betiği çalıştırabilir. Bu, hedef kullanıcının scriptpath
özelliğini saldırganın betiğine işaret edecek şekilde güncellemek için Set-ADObject
komutunu kullanarak gerçekleştirilir.
GenericWrite on Group
Bu ayrıcalıkla, saldırganlar grup üyeliğini manipüle edebilir, örneğin kendilerini veya diğer kullanıcıları belirli gruplara ekleyebilirler. Bu süreç, bir kimlik bilgisi nesnesi oluşturmayı, bunu kullanarak bir gruptan kullanıcı eklemeyi veya çıkarmayı ve PowerShell komutlarıyla üyelik değişikliklerini doğrulamayı içerir.
WriteDACL + WriteOwner
Bir AD nesnesine sahip olmak ve üzerinde WriteDACL
ayrıcalıklarına sahip olmak, bir saldırgana nesne üzerinde GenericAll
ayrıcalıkları verme imkanı tanır. Bu, ADSI manipülasyonu yoluyla gerçekleştirilir ve nesne üzerinde tam kontrol sağlanır ve grup üyeliklerini değiştirme yeteneği kazanılır. Ancak, bu ayrıcalıkları Active Directory modülünün Set-Acl
/ Get-Acl
cmdlet'lerini kullanarak istismar etmeye çalışırken sınırlamalar vardır.
Alan Üzerinde Replikasyon (DCSync)
DCSync saldırısı, alan üzerindeki belirli replikasyon izinlerini kullanarak bir Alan Denetleyicisi gibi davranır ve kullanıcı kimlik bilgileri de dahil olmak üzere verileri senkronize eder. Bu güçlü teknik, saldırganların bir Alan Denetleyicisi'ne doğrudan erişim olmadan AD ortamından hassas bilgileri çıkarmasına olanak tanıyan DS-Replication-Get-Changes
gibi izinler gerektirir. DCSync saldırısı hakkında daha fazla bilgi edinin.
GPO Delegasyonu
GPO Delegasyonu
Grup Politika Nesnelerini (GPO) yönetmek için devredilen erişim, önemli güvenlik riskleri oluşturabilir. Örneğin, offense\spotless
gibi bir kullanıcıya GPO yönetim hakları devredilirse, WriteProperty, WriteDacl ve WriteOwner gibi ayrıcalıklara sahip olabilirler. Bu izinler, PowerView kullanılarak tespit edilen kötü niyetli amaçlar için kötüye kullanılabilir: bash Get-ObjectAcl -ResolveGUIDs | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
GPO İzinlerini Listele
Yanlış yapılandırılmış GPO'ları tanımlamak için PowerSploit'in cmdlet'leri bir araya getirilebilir. Bu, belirli bir kullanıcının yönetim izinlerine sahip olduğu GPO'ların keşfedilmesini sağlar: powershell Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name} | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
Belirli Bir Politika Uygulanan Bilgisayarlar: Belirli bir GPO'nun hangi bilgisayarlara uygulandığını çözmek mümkündür, bu da potansiyel etki kapsamını anlamaya yardımcı olur. powershell Get-NetOU -GUID "{DDC640FF-634A-4442-BC2E-C05EED132F0C}" | % {Get-NetComputer -ADSpath $_}
Belirli Bir Bilgisayara Uygulanan Politikalar: Belirli bir bilgisayara hangi politikaların uygulandığını görmek için Get-DomainGPO
gibi komutlar kullanılabilir.
Belirli Bir Politika Uygulanan OU'lar: Belirli bir politikadan etkilenen organizasyonel birimleri (OU'lar) tanımlamak için Get-DomainOU
kullanılabilir.
GPO'yu Kötüye Kullan - New-GPOImmediateTask
Yanlış yapılandırılmış GPO'lar, örneğin, etkilenen makinelerde yerel yöneticiler grubuna bir kullanıcı eklemek için anlık bir planlı görev oluşturarak kod çalıştırmak için istismar edilebilir, bu da ayrıcalıkları önemli ölçüde artırır:
GroupPolicy modülü - GPO'yu Kötüye Kullanma
GroupPolicy modülü, eğer kuruluysa, yeni GPO'ların oluşturulmasını ve bağlanmasını sağlar ve etkilenen bilgisayarlarda arka kapıları çalıştırmak için kayıt defteri değerleri gibi tercihlerin ayarlanmasına olanak tanır. Bu yöntem, GPO'nun güncellenmesini ve bir kullanıcının bilgisayara giriş yapmasını gerektirir:
SharpGPOAbuse - GPO'yu Kötüye Kullanma
SharpGPOAbuse, yeni GPO'lar oluşturma gereksinimi olmadan mevcut GPO'ları kötüye kullanma yöntemi sunar. Bu araç, değişiklikleri uygulamadan önce mevcut GPO'ların değiştirilmesini veya yeni GPO'lar oluşturmak için RSAT araçlarının kullanılmasını gerektirir:
Politika Güncellemesini Zorla
GPO güncellemeleri genellikle her 90 dakikada bir gerçekleşir. Bu süreci hızlandırmak için, özellikle bir değişiklik uygulandıktan sonra, hedef bilgisayarda gpupdate /force
komutu kullanılarak anında bir politika güncellemesi zorlanabilir. Bu komut, GPO'larda yapılan herhangi bir değişikliğin bir sonraki otomatik güncelleme döngüsünü beklemeden uygulanmasını sağlar.
Arka Planda
Belirli bir GPO için Zamanlanmış Görevler incelendiğinde, Yanlış Yapılandırılmış Politika
gibi, evilTask
gibi görevlerin eklenmesi doğrulanabilir. Bu görevler, sistem davranışını değiştirmeyi veya ayrıcalıkları artırmayı amaçlayan betikler veya komut satırı araçları aracılığıyla oluşturulur.
New-GPOImmediateTask
tarafından oluşturulan XML yapılandırma dosyasında gösterildiği gibi, görevin yapısı, zamanlanmış görevin ayrıntılarını - yürütülecek komut ve tetikleyicileri - özetler. Bu dosya, zamanlanmış görevlerin GPO'lar içinde nasıl tanımlandığını ve yönetildiğini temsil eder ve politika uygulaması kapsamında keyfi komutlar veya betikler yürütme yöntemi sunar.
Kullanıcılar ve Gruplar
GPO'lar, hedef sistemlerde kullanıcı ve grup üyeliklerinin manipülasyonuna da olanak tanır. Kullanıcılar ve Gruplar politika dosyalarını doğrudan düzenleyerek, saldırganlar yerel administrators
grubuna kullanıcı ekleyebilir. Bu, GPO yönetim izinlerinin devredilmesi yoluyla mümkündür; bu, politika dosyalarının yeni kullanıcılar eklemek veya grup üyeliklerini değiştirmek için değiştirilmesine izin verir.
Kullanıcılar ve Gruplar için XML yapılandırma dosyası, bu değişikliklerin nasıl uygulandığını özetler. Bu dosyaya girişler ekleyerek, belirli kullanıcılara etkilenen sistemler üzerinde yükseltilmiş ayrıcalıklar verilebilir. Bu yöntem, GPO manipülasyonu yoluyla ayrıcalık artırma için doğrudan bir yaklaşım sunar.
Ayrıca, kod yürütme veya kalıcılığı sürdürme için ek yöntemler, oturum açma/kapatma betiklerini kullanma, otomatik çalıştırmalar için kayıt defteri anahtarlarını değiştirme, .msi dosyaları aracılığıyla yazılım yükleme veya hizmet yapılandırmalarını düzenleme gibi yöntemler de dikkate alınabilir. Bu teknikler, GPO'ların kötüye kullanılması yoluyla hedef sistemlere erişimi sürdürme ve kontrol etme için çeşitli yollar sunar.
Referanslar
Last updated