Privileged Groups
Yönetici ayrıcalıklarına sahip bilinen gruplar
Yöneticiler
Alan Yöneticileri
Kurumsal Yöneticiler
Hesap Operatörleri
Bu grup, etki alanında yönetici olmayan hesaplar ve gruplar oluşturma yetkisine sahiptir. Ayrıca, Etki Alanı Denetleyicisine (DC) yerel oturum açmayı etkinleştirir.
Bu grubun üyelerini belirlemek için aşağıdaki komut çalıştırılır:
Yeni kullanıcı eklemek ve DC01'e yerel giriş yapmak izinlidir.
AdminSDHolder grubu
AdminSDHolder grubunun Erişim Kontrol Listesi (ACL), Active Directory'deki tüm "korunan gruplar" için izinleri belirleyen önemli bir mekanizmadır, yüksek ayrıcalıklı gruplar da dahil. Bu mekanizma, yetkisiz değişiklikleri önleyerek bu grupların güvenliğini sağlar.
Bir saldırgan, AdminSDHolder grubunun ACL'sini değiştirerek bir standart kullanıcıya tam izinler verebilir. Bu, bu kullanıcıya tüm korunan gruplar üzerinde tam kontrol sağlar. Bu kullanıcının izinleri değiştirilse veya kaldırılsa bile, sistem tasarımı gereği bir saat içinde otomatik olarak yeniden yüklenir.
Üyeleri incelemek ve izinleri değiştirmek için kullanılan komutlar:
Kurtarma sürecini hızlandırmak için bir komut dosyası mevcuttur: Invoke-ADSDPropagation.ps1.
Daha fazla ayrıntı için ired.team adresini ziyaret edin.
AD Geri Dönüşüm Kutusu
Bu gruba üyelik, silinmiş Active Directory nesnelerinin okunmasına izin verir ve hassas bilgileri ortaya çıkarabilir:
Erişim Denetleyicisi Erişimi
Kullanıcının DC üzerindeki dosyalara erişimi kısıtlıdır, ancak kullanıcı Server Operators
grubunun bir parçasıysa erişim düzeyi değişir.
Ayrıcalık Yükseltme
Sysinternals'ten PsService
veya sc
kullanarak hizmet izinlerini inceleyip değiştirebilirsiniz. Örneğin, Server Operators
grubu belirli hizmetler üzerinde tam kontrol sahibidir, bu da keyfi komutların yürütülmesine ve ayrıcalık yükseltmeye olanak tanır:
Bu komut, Server Operators
'ün tam erişime sahip olduğunu ortaya çıkarır ve böylece yükseltilmiş ayrıcalıklar için hizmetlerin manipülasyonunu mümkün kılar.
Yedek Operatörleri
Yedek Operatörleri
grubuna üyelik, DC01
dosya sistemi erişimini SeBackup
ve SeRestore
ayrıcalıkları sayesinde sağlar. Bu ayrıcalıklar, FILE_FLAG_BACKUP_SEMANTICS
bayrağı kullanarak, açık izinler olmadan bile klasör gezinme, listeleme ve dosya kopyalama yetenekleri sağlar. Bu işlem için belirli komut dosyalarının kullanılması gerekmektedir.
Grup üyelerini listelemek için şunu çalıştırın:
Yerel Saldırı
Bu ayrıcalıkları yerel olarak kullanmak için aşağıdaki adımlar kullanılır:
Gerekli kütüphaneleri içe aktarın:
SeBackupPrivilege
yetkisini etkinleştirin ve doğrulayın:
Bu adımları takip ederek SeBackupPrivilege
yetkisini etkinleştirebilir ve doğrulayabilirsiniz.
Kısıtlı dizinlere erişim sağlayın ve dosyaları kopyalayın, örneğin:
AD Saldırısı
Erişim kontrolü doğrudan Etki Alanı Denetleyicisi'nin dosya sistemine izin verir ve bu da tüm etki alanı kullanıcıları ve bilgisayarları için NTLM karma değerlerini içeren NTDS.dit
veritabanının çalınmasına olanak sağlar.
diskshadow.exe Kullanarak
C
sürücüsünün bir gölge kopyasını oluşturun:
Gölge kopyasından
NTDS.dit
dosyasını kopyalayın:
Alternatif olarak, dosya kopyalamak için robocopy
kullanın:
Hash alımı için
SYSTEM
veSAM
dosyalarını çıkarın:
NTDS.dit
dosyasından tüm karma değerlerini alın:
wbadmin.exe Kullanımı
Saldırgan makinede SMB sunucusu için NTFS dosya sistemi kurulumu yapın ve hedef makinede SMB kimlik bilgilerini önbelleğe alın.
Sistem yedeklemesi ve
NTDS.dit
çıkarma içinwbadmin.exe
kullanın:
Pratik bir gösterim için IPPSEC İLE DEMO VİDEOYA bakın.
DnsAdmins
DnsAdmins grubunun üyeleri, genellikle Etki Alanı Denetleyicilerinde barındırılan bir DNS sunucusunda SYSTEM ayrıcalıklarıyla keyfi bir DLL yükleyebilir ve bu yetenek önemli bir istismar potansiyeli sunar.
DnsAdmins grubunun üyelerini listelemek için kullanın:
Keyfi DLL Yürütme
Üyeler, DNS sunucusunun yerel olarak veya uzaktan paylaşımdan isteğe bağlı bir DLL yüklemesini sağlayabilirler. Bunun için aşağıdaki gibi komutlar kullanılabilir:
DNS hizmetini yeniden başlatmak (ek izin gerektirebilir) DLL'nin yüklenmesi için gereklidir:
Bu saldırı vektörü hakkında daha fazla ayrıntı için ired.team'a başvurun.
Mimilib.dll
Komut yürütme için mimilib.dll kullanmak da mümkündür, özel komutları veya ters kabukları yürütmek için değiştirilebilir. Daha fazla bilgi için bu yayına bakın.
WPAD Kaydı için MitM
DnsAdmins, küresel sorgu engelleme listesini devre dışı bıraktıktan sonra WPAD kaydı oluşturarak Man-in-the-Middle (MitM) saldırıları gerçekleştirmek için DNS kayıtlarını manipüle edebilir. Responder veya Inveigh gibi araçlar, sahtelemeyi ve ağ trafiğini yakalamayı sağlamak için kullanılabilir.
### Olay Günlüğü Okuyucuları Üyeler olay günlüklerine erişebilir ve potansiyel olarak düz metin şifreleri veya komut yürütme ayrıntıları gibi hassas bilgiler bulabilirler:
Exchange Windows İzinleri
Bu grup, etki alanı nesnesindeki DACL'leri değiştirebilir ve potansiyel olarak DCSync ayrıcalıklarını sağlayabilir. Bu grup tarafından istismar edilen ayrıcalık yükseltme teknikleri Exchange-AD-Privesc GitHub deposunda detaylı olarak açıklanmıştır.
Hyper-V Yöneticileri
Hyper-V Yöneticileri, Hyper-V'ye tam erişime sahiptir ve bu, sanallaştırılmış Etki Alanı Denetleyicileri üzerinde kontrol elde etmek için kullanılabilir. Bu, canlı DC'leri klonlamak ve NTDS.dit dosyasından NTLM karma değerlerini çıkarmak anlamına gelir.
Sömürü Örneği
Firefox'un Mozilla Bakım Servisi, Hyper-V Yöneticileri tarafından SYSTEM olarak komutları yürütmek için sömürülebilir. Bu, korumalı bir SYSTEM dosyasına bir sert bağlantı oluşturmayı ve onu kötü amaçlı bir yürütülebilir dosya ile değiştirmeyi içerir:
Not: Hard link saldırısı, son Windows güncellemeleriyle önlenmiştir.
Organization Management
Microsoft Exchange'in kullanıldığı ortamlarda, Organization Management adı verilen özel bir grup önemli yeteneklere sahiptir. Bu grup, tüm alan kullanıcılarının posta kutularına erişim hakkına sahiptir ve 'Microsoft Exchange Güvenlik Grupları' Organizasyon Birimi (OU) üzerinde tam kontrol sağlar. Bu kontrol, ayrıcalık yükseltme için kullanılabilecek Exchange Windows İzinleri
grubunu da içerir.
Ayrıcalık Kullanımı ve Komutlar
Yazıcı Operatörleri
Yazıcı Operatörleri grubunun üyeleri, SeLoadDriverPrivilege
dahil olmak üzere birkaç ayrıcalığa sahiptir. Bu ayrıcalıklar, bir Etki Alanı Denetleyicisine yerel olarak oturum açma, onu kapatma ve yazıcıları yönetme izni verir. Bu ayrıcalıkları sömürmek için özellikle SeLoadDriverPrivilege
bir yükseltilmemiş bağlamda görünmüyorsa, Kullanıcı Hesabı Denetimi (UAC) atlatılması gerekmektedir.
Bu grubun üyelerini listelemek için aşağıdaki PowerShell komutu kullanılır:
SeLoadDriverPrivilege
ile ilgili daha detaylı saldırı teknikleri için, belirli güvenlik kaynaklarına başvurulmalıdır.
Uzak Masaüstü Kullanıcıları
Bu grubun üyeleri, Uzak Masaüstü Protokolü (RDP) aracılığıyla PC'lere erişim izni verilir. Bu üyeleri sıralamak için PowerShell komutları kullanılabilir:
RDP'yi sömürme konusunda daha fazla bilgi, ayrılmış pentesting kaynaklarında bulunabilir.
Uzaktan Yönetim Kullanıcıları
Üyeler, Windows Uzaktan Yönetim (WinRM) üzerinden PC'lere erişebilir. Bu üyelerin sıralaması şu şekilde gerçekleştirilir:
Sunucu Operatörleri Bu grup, Etki Alanı Denetleyicileri üzerinde çeşitli yapılandırmalar yapma iznine sahiptir, bunlar arasında yedekleme ve geri yükleme yetkileri, sistem saati değiştirme ve sistemi kapatma bulunur. Üyeleri sıralamak için kullanılan komut:
Referanslar
Last updated