Privileged Groups
Добре відомі групи з адміністративними привілеями
Адміністратори
Адміністратори домену
Адміністратори підприємства
Оператори облікових записів
Ця група має можливість створювати облікові записи та групи, які не є адміністраторами домену. Крім того, вона дозволяє локальний вхід на контролер домену (DC).
Для ідентифікації членів цієї групи виконується наступна команда:
Додавання нових користувачів дозволено, а також локальний вхід на DC01.
Група AdminSDHolder
Список керування доступом (ACL) групи AdminSDHolder є критичним, оскільки він встановлює дозволи для всіх "захищених груп" в Active Directory, включаючи групи з високими привілеями. Цей механізм забезпечує безпеку цих груп, запобігаючи несанкціонованим змінам.
Атакувальник може використати це, змінивши ACL групи AdminSDHolder, надаючи повні дозволи стандартному користувачеві. Це фактично дозволить цьому користувачеві повний контроль над усіма захищеними групами. Якщо дозволи цього користувача будуть змінені або видалені, вони автоматично відновляться протягом години через дизайн системи.
Команди для перегляду членів та зміни дозволів включають:
Скрипт доступний для прискорення процесу відновлення: Invoke-ADSDPropagation.ps1.
Для отримання додаткових відомостей відвідайте ired.team.
Кошик відновлення AD
Членство в цій групі дозволяє читати видалені об'єкти Active Directory, що може розкрити чутливу інформацію:
Доступ до контролера домену
Доступ до файлів на DC обмежений, якщо користувач не є частиною групи Оператори сервера
, що змінює рівень доступу.
Підвищення привілеїв
За допомогою PsService
або sc
від Sysinternals можна переглядати та змінювати дозволи служби. Група Оператори сервера
, наприклад, має повний контроль над певними службами, що дозволяє виконувати довільні команди та підвищувати привілеї:
Ця команда показує, що у Операторів сервера
є повний доступ, що дозволяє маніпулювати службами для підвищення привілеїв.
Оператори резервного копіювання
Членство в групі Оператори резервного копіювання
надає доступ до файлової системи DC01
через привілеї SeBackup
та SeRestore
. Ці привілеї дозволяють перегляд папок, спискування та копіювання файлів, навіть без явних дозволів, використовуючи прапорець FILE_FLAG_BACKUP_SEMANTICS
. Для цього процесу необхідно використовувати конкретні скрипти.
Для переліку членів групи виконайте:
Локальна атака
Для використання цих привілеїв локально використовуються наступні кроки:
Імпорт необхідних бібліотек:
Увімкніть та перевірте
SeBackupPrivilege
:
Отримання доступу та копіювання файлів з обмежених каталогів, наприклад:
Атака на AD
Прямий доступ до файлової системи контролера домену дозволяє викрасти базу даних NTDS.dit
, яка містить всі хеші NTLM для користувачів та комп'ютерів домену.
Використання diskshadow.exe
Створіть тіньову копію диска
C
:
Скопіюйте
NTDS.dit
з тіньової копії:
Альтернативно, використовуйте robocopy
для копіювання файлів:
Витягніть
SYSTEM
таSAM
для отримання хеша:
Отримання всіх хешів з
NTDS.dit
:
Використання wbadmin.exe
Налаштуйте файлову систему NTFS для SMB-сервера на машині зловмисника та кешуйте облікові дані SMB на цільовій машині.
Використовуйте
wbadmin.exe
для резервного копіювання системи та вилученняNTDS.dit
:
Для практичної демонстрації дивіться ВІДЕО ДЕМОНСТРАЦІЇ З IPPSEC.
DnsAdmins
Члени групи DnsAdmins можуть використовувати свої привілеї для завантаження довільної DLL з привілеями SYSTEM на DNS-сервері, який часто розміщується на контролерах домену. Ця можливість відкриває значний потенціал для експлуатації.
Для переліку членів групи DnsAdmins використовуйте:
Виконання довільного DLL
Члени можуть змусити DNS-сервер завантажити довільний DLL (або локально, або з віддаленої ресурсної папки) за допомогою таких команд:
Перезапуск служби DNS (що може вимагати додаткових дозволів) необхідний для завантаження DLL:
Для отримання додаткових відомостей про цей вектор атаки, звертайтеся до ired.team.
Mimilib.dll
Також можна використовувати mimilib.dll для виконання команд, модифікуючи її для виконання конкретних команд або оборотних оболонок. Перевірте цей пост для отримання додаткової інформації.
WPAD Record для MitM
DnsAdmins можуть маніпулювати записами DNS для здійснення атак типу Man-in-the-Middle (MitM), створюючи запис WPAD після вимкнення глобального списку блокування запитів. Інструменти, такі як Responder або Inveigh, можуть бути використані для підробки та захоплення мережевого трафіку.
Читачі журналу подій
Учасники можуть отримати доступ до журналів подій, можливо, знаходячи чутливу інформацію, таку як паролі у відкритому вигляді або деталі виконання команд:
Обмін дозволами Windows
Ця група може змінювати DACL на об'єкті домену, що потенційно надає привілеї DCSync. Техніки ескалації привілеїв, які використовують цю групу, детально описані в репозиторії GitHub Exchange-AD-Privesc.
Адміністратори Hyper-V
Адміністратори Hyper-V мають повний доступ до Hyper-V, що може бути використано для отримання контролю над віртуалізованими контролерами домену. Це включає клонування живих DC та вилучення хешів NTLM з файлу NTDS.dit.
Приклад експлуатації
Службу обслуговування Mozilla Firefox можна використовувати адміністраторами Hyper-V для виконання команд в якості SYSTEM. Це включає створення жорсткого посилання на захищений файл SYSTEM та заміну його зловмисним виконуваним файлом:
Організаційне управління
У середовищах, де використовується Microsoft Exchange, існує спеціальна група, відома як Organization Management, яка має значні можливості. Ця група має привілеї для доступу до поштових скриньок всіх користувачів домену та утримує повний контроль над 'Групами безпеки Microsoft Exchange' Організаційної Одиниці (OU). Цей контроль включає групу Exchange Windows Permissions
, яку можна використовувати для підвищення привілеїв.
Експлуатація привілеїв та Команди
Оператори друку
Члени групи Оператори друку мають кілька привілеїв, включаючи SeLoadDriverPrivilege
, який дозволяє їм входити локально на контролер домену, вимикати його та керувати принтерами. Для експлуатації цих привілеїв, особливо якщо SeLoadDriverPrivilege
не видно в непідвищеному контексті, необхідно обійти Контроль облікових записів користувачів (UAC).
Для переліку членів цієї групи використовується наступна команда PowerShell:
Для отримання більш детальних технік експлуатації, пов'язаних з SeLoadDriverPrivilege
, слід звертатися до конкретних джерел з безпеки.
Користувачі віддаленого робочого столу
Члени цієї групи мають доступ до ПК через протокол віддаленого робочого столу (RDP). Для переліку цих членів доступні команди PowerShell:
Додаткові відомості про експлуатацію RDP можна знайти в спеціалізованих ресурсах з пентестінгу.
Користувачі віддаленого керування
Члени можуть отримати доступ до ПК через Windows Remote Management (WinRM). Перелік цих членів визначається за допомогою:
Для технік експлуатації, пов'язаних з WinRM, слід звертатися до конкретної документації.
Оператори сервера
Ця група має дозвіл на виконання різних конфігурацій на контролерах домену, включаючи привілеї резервного копіювання та відновлення, зміну системного часу та вимкнення системи. Для переліку членів надана команда:
Посилання
Last updated