Home / Access Control List / Persistência de domínio – AdminSDHolder – Laboratório de testes de penetração
Persistência de domínio – AdminSDHolder – Laboratório de testes de penetração

Persistência de domínio – AdminSDHolder – Laboratório de testes de penetração

A utilização de recursos existentes da Microsoft para operações ofensivas é muito geral durante as avaliações da equipe vermelha, pois oferece a oportunidade de se misturar ao envolvente e permanecer indetectável. A Microsoft introduziu “AdminSDHolder” objeto de diretório ativo para proteger contas de supino privilégio, uma vez que administradores de domínio e administradores corporativos, de modificações não intencionais de permissões, pois é usado uma vez que padrão de segurança. O Active Directory recupera a ACL do “AdminSDHolder” periodicamente (a cada 60 minutos por padrão) e aplique as permissões a todos os grupos e contas que fazem secção desse objeto. Isso significa que durante as operações da equipe vermelha, mesmo que uma conta seja detectada e removida de um grupo com privilégios altos em 60 minutos (a menos que seja aplicada), essas permissões serão revertidas.

No caso de um domínio ter sido comprometido, uma conta de usuário padrão pode ser adicionada à lista de controle de chegada do “AdminSDHolder” para estabelecer a persistência do domínio. Leste usuário adquirirá privilégios “GenericAll” que equivalem ao gestor do domínio. Esta técnica não é novidade, pois foi apresentada inicialmente por Sean Metcalf durante o DerbyCon em 2015. A implementação do ataque é trivial a partir de um console PowerShell ressaltado executando o seguinte módulo PowerView:

Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName pentestlab -Verbose -Rights All
AdminSDHolder – Modificação

Em seguida 60 minutos as alterações nas permissões serão aplicadas e o módulo “Get-ObjectAcl” pode ser usado para validar que o usuário “pentestlab” tem “GenericAll” direitos de diretório ativo.

Get-ObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | ?{$_.IdentityReference -match 'pentestlab'}
AdminSDHolder – GenericAll Privileges

As alterações na ACL serão propagadas involuntariamente depois 60 minutos. Isso ocorre devido ao processo do propagador do narrador de segurança (SDProp) que é executado a cada 60 minutos no emulador do controlador de domínio principal (PDC) e preenche a lista de controle de chegada com as permissões de segurança que existem no AdminSDHolder para grupos e contas. No entanto, estes podem ser forçados modificando o DN uma vez que pode ser visto inferior usando o “ldp.exe” Utilitário.

AdminSDHolder – Modificar DN

Porquê escolha, a modificação de uma chave de registro específica no controlador de domínio pode reduzir o pausa de tempo do SDProp para 3 minutos (valor hexadecimal 12c). Deve-se observar que a Microsoft não recomenda a modificação dessa forma, pois isso pode fomentar problemas de desempenho em relação ao processo LSASS no domínio.

REG ADD HKLMSYSTEMCurrentControlSetServicesNTDSParameters /V AdminSDProtectFrequency /T REG_DWORD /F /D 300

Do ponto de vista do Active Directory é visível que o usuário “pentestlab” foi adicionado no “AdminSDHolder” olhando em suas Propriedades.

AdminSDHolder – Propriedades

Grupos e contas que fazem secção do “AdminSDHolder” contêiner terá o “adminCount” definido uma vez que 1. Esse sinalizador indica que as permissões desse contêiner serão copiadas em 60 minutos no domínio, mesmo que os privilégios sejam modificados.

AdminSDHolder – adminCount

Porquê o usuário tem as permissões necessárias, ele pode ser adicionado ao “Administradores de domínio” grupo.

net group "domain admins" pentestlab /add /domain
Somar usuário ao grupo de administradores de domínio

A realização do comando inferior verificará se o controlador de domínio agora está atingível e a persistência do domínio foi estabelecida.

dir 10.0.0.1c$
AdminSDHolder – Aproximação DC

Referências

Check Also

O que é um SDET (uma vez que lucrar mais quantia)

Neste guia aprofundado, você aprenderá tudo sobre o papel de um SDET. Continue lendo para …

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *