EXCHANGE 与域渗透

作者: const27 分类: All,内网 发布时间: 2020-10-15 04:42

利用exhange服务用户的writeDACL权限进行域提权

前提:一个exchange高权限组的用户控制权,一个机器账户

exchange安装后会在AD上生成两个容器

其中exchange windows permissions组的用户拥有writeDACL权限, Exchange Trusted Subsystem 是 Exchange Windows Permission 的成员,能继承writedacl权限,有这个权限后就能使用dcsync导出所有用户hash。
其中exchange trusted subsystem组甚至可能有继承自administrators组的权限。

假设我们已经拿到了exchange trusted subsystem中一个用户的控制权。
注:改变用户权限后需重新登陆用户才能使更改生效
whoami /groups 一下,发现已经被添加到组内了

接下来使用mimikatz的dcsync功能(需privilege::debug)

然后做黄金票据就完事了.
如果还想隐蔽一点,可以给普通用户添加如下ACE,使其获得dcsync权限

  • DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
  • DS-Replication-Get-Changes-All(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
  • DS-Replication-Get-Changes(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

可以以管理员权限运行powerview.ps1完成以上操作

#给域用户hack添加以上三条ACE
Add-DomainObjectAcl -TargetIdentity "DC=xie,DC=com" -PrincipalIdentity hack -Rights DCSync -Verbose
 
#给域用户hack删除以上三条ACE
Remove-DomainObjectAcl -TargetIdentity "DC=xie,DC=com" -PrincipalIdentity hack -Rights DCSync -Verbose

然后普通用户也可以用mimikatz调用dcsync导出hash了

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

Leave a Reply

Your email address will not be published. Required fields are marked *

标签云