組合利用 AdminSDHolder和SDProp 打造隱蔽域控後門
本文中的內容描述了一種方法,通過該方法,攻擊者可以在擁有域管理員級別的許可權的5分鐘後,就可以持續對Active Directory的進行管理訪問。
我在DerbyCon(2015)上介紹了這種AD許可權持久的方法。
完整的活動目錄許可權持久技巧帖子列表
AdminSDHolder概述
AdminSDHolder是位於Active Directory中的系統分區(cn = adminsdholder,cn = system,dc = domain,dc = com)中的一個對象,通常作為某些特權組成員的對象的安全模板。枚舉這些組中的對象,並標記那些具有與AdminSDHolder ACL不匹配的安全描述符的任何對象,之後進行更新。安全描述符傳播器(SDProp)進程在PDC模擬器上每60分鐘運行一次,並使用AdminSDHolder設置的安全許可權重新標記對象訪問控制列表(ACL)。
由AdminSDHolder保護的對象的 「AdminCount」 屬性的值會設置為1,安全繼承被禁用。
請注意,當從一個受保護的組中刪除對象時,AdminCount不會設置為另一個值。這是由於Windows 2000發布時的早期反饋所致。
默認的AdminSDHolder安全ACL
AdminSDHolder對象許可權會作為域中的特權組的ACL模板。
相關的AdminSDHolder的默認ACL如下:
· 已驗證的用戶:只讀
· 系統:完全控制
· 管理員組:修改
· 域管理員組:修改
· 企業管理員組:修改
AdminSDHolder默認保護對象
SDProp受保護對象(Windows Server 2008和Windows Server 2008 R2)如下:
· Account Operators
· Administrator
· Administrators
· Backup Operators
· Domain Admins
· Domain Controllers
· Enterprise Admins
· Krbtgt
· Print Operators
· Read-only Domain Controllers
· Replicator
· Schema Admins
· Server Operators
這些組的子集可以從控制中排除,包括Account Operators, Server Operators, Print Operators, Backup Operators。
大約60分鐘後,運行PDC模擬器,該帳戶現在可以完全控制Domain Admins組。或者,手動運行SDPRop。
在Windows Server 2008 R2中,Microsoft引入了一個新的rootDSE LDAP修改操作(稱為RunProtectAdminGroupsTask)來啟動AdminSDHolder進程。
新的Windows 2008 R2基於RunProtectAdminGroupsTask的機制提供了一種更有效的機制來強制執行AdminSDHolder應用程序。在這種情況下,舊的基於FixUpInheritance的機制並沒有真正啟動AdminSDHolder進程,它啟動安全描述符傳播器更新(SDProp)進程。SDProp對關鍵安全組和帳戶的ACL具有相同的效果,但需要更長時間才能完成。SDProp是將父對象上的可繼承ACE的更改傳播到其子對象的後台AD進程。當對象的ACL被修改或移動對象時,它會自動觸發。SDProp影響所有AD子對象的ACL,而不僅僅是關鍵AD安全組和帳戶的ACL,因此將消耗更多的DC處理時間。
WindowsPTP上的SDProp參考。
手動觸發SDProp進程
FixUpInheritance(Windows 2008 R2之前):
Windows 2008 R2基於 RunProtectAdminGroups Task機制的啟動方式:
組合利用AdminSDHolder和SDProp
將帳戶或組添加到AdminSDHolder對象許可權後,將授予完全控制權或修改許可權。在這個例子中我添加了用戶「Bobafett」。
運行SDProp之後,Bobafett將自動添加到Domain Admins組中(以及上面列出的其他組)。現在此帳戶就可以修改Domain Admins組的成員。
請注意,Bobafett的用戶帳戶沒有組成員。
儘管不是任何組的成員,該帳戶現在可以修改域管理員組的組成員。
結論
AdminSDHolder是攻擊者通過利用關鍵安全組件來持續授予在Active Directory中修改最多特權組的能力的一種隱蔽方法。即使在受保護的組或用戶上更改了許可權,SDProp也可以更改安全許可權,使其與AdminSDHolder對象的許可權相匹配。
檢測方法
監視AdminSDHolder對象上配置的ACL。這些應該保持默認 - 通常不需要向AdminSDHolder ACL添加其他組。
使用AdminCount = 1監視用戶和組,以標識出由SDProp設置的ACL的帳戶。
使用PowerShell AD cmdlet查找由SDProp設置的安全ACL的所有用戶:
Import-Module ActiveDirectory
Get-ADObject -LDAPFilter 「(&(admincount=1)(|(objectcategory=person)(objectcategory=group)))」 -Properties MemberOf,Created,Modified,AdminCount
參考文獻:
· 關於AdminSdHolder和SDProp的五個常見問題
· AdminSDHolder,受保護組和SDPROP
· 手動運行SDProp
本文翻譯自
https://adsecurity.org/?p=1906
點擊展開全文
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※滲透技巧——Windows日誌的刪除與繞過
※實用教程:手動安卓應用中注入msf後門
※趨勢科技技術分析:詳解無文件勒索病毒Sorebrect
※HackerOne年度報告:安全眾測推出四年,成果幾何?
※出門刷卡要小心!一種可以從POS機終端收集信用卡信息的惡意軟體出現了
TAG:嘶吼RoarTalk |
※「MD PHOTO」G-friend等偶像組合參加 MBC MUSIC《show champion》直播
※[MD PHOTO] Tomorrow X Together等偶像組合出演SBS MTV《The show》
※iPhoneXS Max組合Apple Watch變迷之裝備
※NetApp收購Kubernetes初創公司StackPointCloud加強雲產品組合
※[MD PHOTO] Superjunior D&E等偶像組合參加《The show》現場直播
※「MD PHOTO」蔡妍Monsta X等歌手和組合參加《show champion》直播
※Beyoncé,JAY-Z夫婦組合The Carters強勢回歸Beyoncé身穿 MCM定製皮衣亮相新單APESHIT音樂視頻
※Universal Laser Systems(R)的ULTRA平台系列擴展了材料處理的激光器系統組合
※「MD PHOTO」EXID等偶像組合參加MBC MUSIC《show champion》直播
※「MD PHOTO」HUB等偶像組合參加MBC MUSIC《show champion》直播
※「MD PHOTO」韓國音樂組合Urban Zakapa新專輯發售showcase
※[MD PHOTO]The EastLight等組合出演 《The show》節目
※Daniel Arsham x adidas Futurecraft 4D 全新演繹光氧組合
※MARs組合集結!《Pretty All Friends》新視覺圖公開
※Bracco Imaging利用AR解決方案擴展產品組合
※Petit Chara Land 銀魂 招財貓組合
※[MD PHOTO] HOT PLACE等偶像組合參加MBC MUSIC《show champion》直播
※電子雙人組合YellowDoDoHomeland主題音樂現場
※把醬油瓶放進菜籃子:UC Berkeley提出高度逼真的物體組合網路Compositional GAN
※姐妹組合筆下的變幻莫測——Anna and Elena Balbusso