标签：DACL AD 隐秘 接管 用户 Martin OU 权限 Users

介绍

在AD（Active Directory）中，有不同的方法可以通过对象的DACL设置后门，例如OU、GPO、Group或User等。

我最近一直在进行这方面的研究，希望发现更多隐藏在其中的新方法，我也乐于和大家分享。

在详细了解了AD中的访问控制列表（ACL）后，我发现了一个很好的隐藏对象DACL的方法，此外还能在任何时候偷偷摸摸接管该对象。

总结

首先要说明的是，该文章的主要观点来自SpecterOps。我只是丰富了一些额外的细节，以便让读者更清楚。当你们使用这篇文章所描述的技术时，别忘了他们才是“幕后黑手”。

在下面的图片中，我们可以清楚看到域管理员组中的用户。

Martin是域管理员组的一员，同时也是本文的目标。

而在下面的图片中，我们可以看到用户Martin的DACL。

从图片可看到，域中的每个用户都可以使用诸如PowerView之类的工具来查找某个对象上的所有ACL。但是，当我们设置所有人都不能读取和修改Martin帐户信息时，会发生什么呢？

现在，当我们使用普通域用户的帐户登录时，再查看Martin的属性，可以发现有些东西不见了（Security选项卡不见了）。

确切地说，Martin的DACL已经“消失”了，除了Domain Admins、Enterprise Admins和Administrators组的用户，其他所有人都看不见。

现在，让我们再次使用域帐户登录，利用上述情景创建一个可悄悄接管账户的后门。

首先，我们可以看到Dumfries得到了Martin的WriteOwner权限。

因为我们已是域管理员，所以我们可以做任何事（本文定位是提权后的权限维持阶段），包括从域管理员组中删除用户Dumfries。

此时，Dumfries只是一个域中普通用户。

让我们回到Martin。

我们可以看到以下信息：

其他未被授予WriteOwner权限的用户（普通用户）是无法看到Martin的“Security”选项卡。

现在，让我们把Martin的拥有者改为Dumfries！

此时，我们现在可以修改Martin的安全性设置。

如前所述，这不仅限于用户的帐户。我们也可以对OU执行此操作。但记住，这一切操作都需要一个高权限用户。

在下面的示例中，我将针对OU=Users来创建后门。

在这里我们可以看到OU=Users的DACL。

现在禁止Everyone的读取和修改权限。

此时，一个普通的域用户是看不到OU=Users的DACL（下图中无Security选项卡）。

然后，与Martin不同的是，这里不是授予特定用户WriteOwner权限，而是授予每个域用户对OU的WriteOwner权限。

现在，如果某个域用户注意到了这一点（有改动OU的权限）。那么第一个发现的用户就可以完全控制OU=Users。

好的！Memphis是最先发现这一点，并获得OU=Users控制权的人。

希望你喜欢我的文章！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2803.html
来源：https://medium.com/@huykha/create-a-backdoor-to-take-over-an-object-in-ad-d5df682a4022

标签：DACL,AD,隐秘,接管,用户,Martin,OU,权限,Users
来源： https://blog.csdn.net/NOSEC2019/article/details/96884798

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。