iT邦幫忙

2022 iThome 鐵人賽
DAY 25
0
Security

資安這條路:學習 Active Directory Security系列 第 25

AD Security - [Day25] 一起來學 AD 安全吧!: DnsAdmins 提權

14th鐵人賽
1503 瀏覽

  • 分享至 

  • xImage
    •  

「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」

接續前一個 User 相關的攻擊方式,以$為結尾的內容

  • Trust accounts
    • $ 字號結尾也有可能是 信任帳號
    • 當一個網域(A)跟另外一個網域(B)進行信任的時候
      • A 在 B 以 A$ 儲存 Trust Key
      • B 在 A 以 B$ 儲存 Trust Key
    • Powershell 指令
      • Get-ADUser -LDAPFilter "(SamAccountName=*$)" | select SamAccountName
        • 找到 SamAccountName 以 $ 結尾的帳號
    • 若竊取這些帳號的 key(NT hash or Kerberos key) 可取得跨領域inter-realm 的 Kerberos Ticket
  • Group
    • 針對企業中如同我們之前提及企業為了管理方便會利用群組來進行控制,可以將員工加入群組統一管理
    • powershell
      • Get-ADGroup -Filter * | select SamAccountName
        • 查出群組名稱
    • 重要群組
      • 以攻擊者或檢測者來說 domain admins 的群組內有管理員的權限,因此可以去尋找該群組內的成員,並且嘗試取得成員權限,以利下一步攻擊
      • 指令
        • Get-ADGroup "Domain Admins" -Properties members,memberof
    • 與林相關的群組
      • Enterprise Admins 的成員具有林的管理員權限
        • 該群組是基於林的 root 網域群組

整理其他群組-DNSAdmins 權限提升

  • DNSAdmins
    • CVE-2021-40469
    • 該群組的成員有權限可以管理 DNS 服務
      • 權限名稱
        • RIGHT_DS_WRITE_PROPERTY
        • RIGHT_DS_WRITE_PROPERTY_EXTENDED
      • 新增 DNS 區域
      • 管理 DNS
      • 啟動或停止 dns.exe (主要以 SYSTEM 執行)
      • 成員對 DNS 服務 object 有寫入權限
      • DNS 以 RPC 執行
        • RPC Interface UUID for DNS
          • 50ABC2A4-574D-40B3-9D66-EE4FD5FBA076
          • 可利用rpcdump.py DC名稱
            • 確認
              • Protocol
              • Provider
              • UUID
        • Named Pipe name
          • \PIPE\DNSSERVER
      • 可以設定 ServerLevelPluginDll 的值
        - 在註冊表路徑 HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\
        - 新增屬性名稱為 ServerLevelPluginDll
        - 可以指到任意 DLL 路徑
        - 重新啟動 dns 服務
        - 就會以 system 權限執行
    • DNS 提權
      • use exploit/windows/local/dnsadmin_serverlevelplugindll
  • 如何緩解
    • 讓 DnsAdmins 為空成員
    • 取消可繼承的 ACE
    • 取消權限 RIGHT_DS_WRITE_PROPERTY_EXTENDED
      • 可以阻止攻擊者編寫註冊表載入任意 DLL
    • 不使用(已經不進行更新)
      • Windows Server 2008 R2
      • Windows Server 2008
    • 預設已經修復,修復方式是
      • 新增註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\InternalParameters
      • 僅允許管理員修改

參考資料


上一篇
AD Security - [Day24] 一起來學 AD 安全吧!: User and Golden Ticket ATTACK
下一篇
AD Security - [Day26] 一起來學 AD 安全吧!: Protected Users、Account Operators 與 DCSync 攻擊手法初探
系列文
資安這條路:學習 Active Directory Security33
  1. 29
    AD Security - [Day29] 一起來學 AD 安全吧!: 整理 Credential Request 相關手法與該監控的 Event ID
  2. 30
    AD Security - [Day30] 一起來學 AD 安全吧!: Active Directory Object Access
  3. 31
    AD Security - [Day31] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Deletion
  4. 32
    AD Security - [Day32] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Creation、DCShadow 手法
  5. 33
    AD Security - [Day33] 一起來學 AD 安全吧!: Active Directory Object Modification(1)- SID-History injection
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙