那些从未听过的高危用户权限

[[182348]]

前言

我发现Windows用户权限非常有趣。独立于计算机/域对象DACL,用户权限主要负责“通过什么方式可以让特定的用户登录到一个特定的系统 ”,它被组策略中的用户权限分配所管理。我最近利用Get-ProcessTokenPrivilege函数中将枚举到的特权整合到PowerUp,尤其是特殊的权限。

SeEnableDelegationPrivilege

SeEnableDelegationPrivilege被我忽略了。这项权限负责一个用户帐户是否可以“允许计算机和用户帐户被信任为委派”,我忽略了它的权限是因为规定的文档:“没有任何理由将此用户权限分配给成员服务器上的任何人和属于域的工作站,因为它在这些上下文中没有意义; 它仅与域控制器和独立计算机相关。“所以这个权利适用于域,而不是本地域加入的机器。

我们一开始都认为这个权限只负责TRUSTED_FOR_DELEGATION和TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION标志的修改-这将建立一个漂亮的攻击。不幸的是,对我们的攻击者,看来这种权限也控制msDS-AllowedToDelegateTo属性的修改,它包含受限制的委派目标。

如果我们没有SeEnableDelegationPrivilege 权限,我们就不能修改授权特定的用户帐户控制设置,也不能修改目标msDS-AllowedToDelegateTo 字段(即使我们有对象的完全控制权):

现在的问题是:我们如何确定哪些用户在域中拥有这项权限?由于SeEnableDelegationPrivilege仅适用于域控制器本身,我们需要检查应用于域控制器的任何组策略对象是否修改了给定DC的用户权限分配。在大多数情况下,这将是“默认域控制器策略”(GUID={6AC1786C-016F-11D2-945F-00C04FB984F9})。这也正是 Get-DomainPolicy -Source DC PowerView函数所做的:

因此,默认情况下,只有BUILTIN\Administrators(即域管理员/企业管理员等)的成员才有权修改这些授权设置。但是,如果我们可以编辑这个GPO或者应用于域控制器的任意一个GPO会发生什么?

为什么关心

在给予足够的权限下,有一百万种方法开启Active Directory后门。Sean Metcalf把这些叫作“Sneaky Active Directory Persistence Tricks”。其中的一些涉及到ACL后门,这些我在过去已经介绍过一些。其他的方法可能需要恶意修改的组策略。还有一些可能涉及修改用户对象。SeEnableDelegationPrivilege 的这种方法比以上所说的都高明。

如果我们在域中控制了一个拥有SeEnableDelegationPrivilege权限的对象,这表明对象在域中的任何用户对象上都有GenericAll/GenericWrite权限,我们可以无限期的,随意攻击域。

由于在默认域控制器GPO上提升域权限或编辑权限只需几分钟,你可以对给定的GPO进行单一的修改来实现这个后门。这GPO位于\\DOMAIN\sysvol\testlab.local\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf 。通过将任何用户SID或用户名添加到[Privilege Rights]节的SeEnableDelegationPrivilege行中,当用户/当前电脑的DC重启或刷新其组策略时,设置就会生效:

如果恶意用户在域中拥有任意用户的完整的权限,我们可以修改用户的msDS-AllowedToDelegateTo的值为我们想要攻击的任何目标。如果需要,我们还可以修改TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION UAC标志。在这种情况下,让我们利用ldap/DOMAIN_CONTROLLER来随意使用DCSyncing:

如果恶意用户对任何目标受害都有GenericAll权限,那么我们甚至不必知道受害用户的密码。我们可以使用Set-DomainUserPassword将密码强制重置为一个已知值,然后执行asktgt.exe/s4u.exe攻击流。

很显然,从防守端,我们可以通过PowerView或其他方式来了解哪些用户在域控制器中拥有SeEnableDelegationPrivilege特权。这个权限会赋予用户完整的域控制权,这是一个伟大的“微妙”的权限,但是可以很简单的检测(如果你知道你在找什么)出AD后门。有明显的方法,你可以破坏域控制器中已经被赋予的SYSTEM权限,在未来几周,我会详细介绍检测特定DACL修改的方法,但是,在组策略中审查这些应用是一个好的开始。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/121414.html<

(0)
管理的头像管理
上一篇2025-02-21 21:03
下一篇 2025-02-21 21:05

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注