AD域内网渗透学习——ACL攻击链
💡
原文中文,约4400字,阅读约需11分钟。
📝
内容提要
本文记录了AD域ACL攻击的案例,涵盖从ACL枚举到利用的完整攻击链。首先介绍ACL的基本概念和权限类型,然后描述如何获取用户凭证和枚举ACL权限,最终利用这些权限进行攻击,包括修改用户密码、添加用户到特定组及执行DCSync攻击。最后强调了攻击后的环境清理步骤。
🎯
关键要点
- ACL概述:访问控制列表(ACL)由多个访问控制条目(ACE)构成,主要分为全权访问控制列表(DACL)和系统访问控制列表(SACL)。
- 攻击者关注的ACE权限包括:GenericAll、GenericWrite、WriteOwner、WriteDACL、AllExtendedRights、ForceChangePassword和Self (Self-Membership)。
- 通过Responder获取用户凭证,破解NTLMv2哈希值,发现目标用户adunn具有DCSync权限。
- 使用Bloodhound枚举ACL,发现wley用户对damundsen用户有ForceChangePassword权限。
- 攻击链步骤包括:修改damundsen用户密码、将其添加到Help Desk Level 1组、利用GenericAll权限控制adunn用户。
- 执行DCSync攻击需要控制具有域复制权限的账户,使用impacket或Mimikatz工具进行攻击。
- 攻击后需清理环境,包括删除伪造SPN、移除damundsen用户和恢复其密码。
❓
延伸问答
什么是ACL及其主要类型?
ACL是访问控制列表,主要分为全权访问控制列表(DACL)和系统访问控制列表(SACL)。
攻击者通常关注哪些ACE权限?
攻击者关注的ACE权限包括GenericAll、GenericWrite、WriteOwner、WriteDACL、AllExtendedRights、ForceChangePassword和Self (Self-Membership)。
如何获取用户凭证并进行ACL枚举?
可以通过Responder获取用户的NTLMv2哈希值并破解密码,然后使用Bloodhound枚举ACL权限。
DCSync攻击的基本原理是什么?
DCSync攻击是通过域控制器的目录复制服务远程协议来窃取Active Directory密码数据库。
执行DCSync攻击需要哪些条件?
需要控制一个具有执行域复制权限的账户,通常是域/企业管理员或默认域管理员。
攻击后需要进行哪些环境清理步骤?
需要删除伪造的SPN、移除damundsen用户和恢复其密码。
➡️
