本文講的是<b>如何利用 SID History 建立域控權限後門?</b>,本文的内容描述了一種方法,通過該方法,攻擊者可以在擁有域管理級别的權限的5分鐘後,就可以持續的對Active Directory進行管理通路。
SID曆史記錄是支援遷移方案的屬性。每個使用者帳戶都有一個關聯的安全辨別符(SID),用于跟蹤安全主體和連接配接到資源時的帳戶及通路權限。SID曆史記錄允許另一個帳戶的通路被有效的克隆到另一個帳戶。這是非常有用的,其目的是確定使用者在從一個域移動(遷移)到另一個域時能保留原有的通路權限。由于在建立新帳戶時使用者的SID會發生更改,舊的SID需要映射到新的帳戶。當域A中的使用者遷移到域B時,将在DomainB中建立新的使用者帳戶,并将DomainA使用者的SID添加到DomainB的使用者帳戶的SID曆史記錄屬性中。這樣就可以確定DomainB使用者仍可以通路DomainA中的資源。
其中有趣的部分是SID曆史在同一個域中的作用與SID在跨越多個域的同一個林中的是相同的,這意味着DomainA中的正常使用者帳戶可以包含DomainA 的SID,如果DomainA 的SID用于特權帳戶或組,就可以授予正常使用者帳戶域管理者權限,而不需要成為域管理者組的成員。
注意:域中的正常使用者可以在其Active Directory林中的其他域中的SID曆史記錄中包含企業管理者SID,進而将使用者帳戶的權限“更新”為域或林的管理者權限,這對林中的所有域都有效。如果你沒有啟用SID篩選(也稱為隔離區)的林信任,則可以從另一個林中注入SID,并在進行身份驗證後将其用于通路評估時将其添加到使用者令牌。
Mimikatz支援SID曆史注入到任何使用者帳戶(需要域管理者或等效的權限)。在這種情況下,攻擊者建立使用者帳戶“bobafett”,并将該域的預設管理者帳戶“ADSAdministrator”(RID 500)添加到帳戶的SID曆史記錄屬性中。
當bobafett帳戶登入時,與該帳戶相關聯的所有SID都将添加到用于确定對資源的通路權限的使用者令牌中。與帳戶相關聯的SID是使用者的SID,使用者是其成員的組SID(包括組成員的組)和SID曆史記錄中包含的SID。
使用PowerShell Active Directory cmdlet“Get-ADUser”,我們可以看到沒有配置設定給bobafett帳戶的組成員身份,盡管它在SIDHistory(ADSAdministrator帳戶)中具有其SID。
當bobafett登入時,将對與該帳戶相關聯的SID進行評估,并根據這些SID來确定通路權限。由于bobafett帳戶與ADSAdministrator帳戶(RID 500)相關聯,是以,bobafett帳戶具有ADSAdministrator帳戶的所有通路權限,包括域管理者權限。
利用bobafett使用者帳戶和通過SID曆史授予的權限,可以使用PowerShell遠端處理從域控制器中提取KRBTGT帳戶密碼資料。
檢測方法
檢測SID曆史記錄帳戶提權的最佳方法是枚舉所有具有SID曆史記錄屬性的使用者的資料,并标記包含同一域*中的SID的使用者。如果使用者尚未遷移,你可以使用SIDHistory屬性中的資料來搜尋所有使用者。這就是為什麼要在遷移完成後清除SID曆史記錄(并将使用者添加到正确的組以獲得所需的資源的通路權限)的原因。
PowerShell AD Cmdlet“Get-ADUser”對于檢測“同一域的SID曆史記錄”非常有用:
下圖顯示了運作“相同域的SIDHistory”檢測PowerShell腳本的結果。請注意,使用者的SIDHistory屬性中的SID以“500”結尾,預設的域管理者帳戶是 Administrators, Domain Admins, Schema Admins 和Enterprise Admins這些使用者組的成員。
*注意:在多個域的林中,建議在林中的每個域以及受信任的域或林中查找管理組SID(和成員帳戶SID)。
通過域控制器事件進行檢測
使用以下事件ID進行日志記錄可以檢測出成功修改或嘗試修改SIDHistory屬性卻失敗的操作:
在帳戶管理下配置子類别稽核,并在域控制器上的“稽核使用者帳戶管理”(成功)中選擇以下事件ID:
· 4765:SID曆史記錄被添加到一個帳戶。
· 4766:嘗試将SID曆史記錄添加到帳戶的失敗事件。
原文釋出時間為:2017年7月3日
本文作者:絲綢之路
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/penetration/5476.html" target="_blank">原文連結</a>