Bebzounette
Rechercher…
Bebzounette
Les Bebzounettes
A propos de l'auteur
Active Directory
Reconnaissance
Mouvement Lateral
🚧
Persistance et Exfiltration
Golden Ticket
Silver Ticket
Skeleton Key
DSRM
Custom SSP
AdminSDHolder
🚧
Cross Trust Attack
Références
Failles Système
🚧
Windows
🚧
Linux
🚧
Mobile & IOT
Failles Web
CheckList & Méthodologie
🚧
Pentest API
🚧
Wordpress
🚧
Jenkins
🚧
IIS Server
Failles Applicative
Buffer-Overflow
Client Lourd /Thick Client
Méthodologie Pentest Client Lourd
Social Engineering
Création d'un serveur de phishing
Sténographie
Sténographie basique
Wireless Security
WIFI
🚧
ZIGBEE
🚧
ZWAVE
GNU-RADIO
Failles Réseaux
Modèle OSI & Adressage IPV4
🚧
DOS & DDOS
VOIP
Failles Physique
🚧
Lock Picking
Matériels
Accès physique à un ordinateur
Forensic
Outils de Forensic
Information gathering
Scans
Services
Echo - 7
FTP - 21
SSH - 22
Telnet - 23
SMTP - 25/465/587
Whois - 43
Finger - 79
POP3 - 110
NTP - 123
MSRPC - 135/593
IMAP - 143
SMB - 445
RDP -3389
References
Github Repos
Repos Github
Contact
Propulsé par GitBook
AdminSDHolder
AdminSdHolder protège les objets de domaine contre les changements de permission. "AdminSdHolder" fait référence soit à un objet de domaine, soit à une opération, selon le contexte.
L'opération consiste à ce que le PDC (Principal Domain Controller) restaure toutes les 60 minutes des autorisations ACLs prédéfinies pour les utilisateurs à haut privilège.
L'opération est menée par un processus appelé SDProp (Security Descriptor propagator). SDProp est un processus qui s’exécute toutes les 60 minutes (par défaut) sur le contrôleur de domaine qui contient l’émulateur PDC du domaine (PDCE).
SDProp compare les autorisations sur l’objet AdminSDHolder du domaine avec les autorisations sur les comptes et groupes protégés du domaine. Si les autorisations sur l’un des comptes et groupes protégés ne correspondent pas aux autorisations sur l’objet AdminSDHolder, les autorisations sur les comptes et groupes protégés sont réinitialisées pour correspondre à celles de l’objet AdminSDHolder du domaine.
L'objet AdminSdHolder est situé à l'adresse CN=AdminSdHolder,CN=SYSTEM,DC=DOMAIN,DC=LOCAL.
Par exemple, la DACL de l'objet AdminSdHolder par défaut contient ce qui suit.
  • Utilisateurs authentifiés : Read
  • SYSTEM : Full Control
  • Administrateurs : Modify
  • Administrateurs de domaine : ReadAndExecute
  • Administrateurs d'entreprise : ReadAndExecute
Les objets protégés par défaut sont les suivants :
  • Les membres (éventuellement imbriqués) des groupes suivants : Account Operators, Administrators, Backup Operators, Domain Admins, Domain Controllers, Enterprise Admins, Print Operators, Read-only Domain Controllers, Replicator, Schema Admins, Server Operators
  • les utilisateurs suivants : Administrator, krbtgt
Lorsqu'on parle d'AdminSdHolder, on mentionne généralement l'attribut AdminCount. Les objets protégés par AdminSDHolder ont cet attribut automatiquement défini sur 1 lorsqu'on l'ajoute à un groupe protégé.
Il faut bien noter que l’attribut AdminCount n'est pas remis à 0 lorsque l'utilisateur est retiré d'un groupe protégé. La suppression d'un compte utilisateur après la révocation de ses droits à privilèges élevés est recommandée, sinon le compte peut être utilisé pour créer des backdoors avant que ses droits ne soient supprimés. C’est pourquoi Microsoft ne supprime pas l'entrée de l'attribut AdminCount, car il suppose que le compte va être désactivé ou supprimé.
Si des privilèges suffisants sont obtenus, un attaquant peut abuser de AdminSdHolder pour maintenir la persistance sur un domaine en modifiant la DACL de l'objet AdminSdHolder.
Par exemple, un attaquant pourrait ajouter l'ACE suivant à la DACL de AdminSdHolder : Utilisateur_contrôlé_par_un_attaquant: Full Control
Lors de la prochaine exécution de SDProp, cet utilisateur aura un privilège GenericAll sur tous les objets protégés (Admins de domaine, contrôleurs de domaine, etc.).
Précédent
Custom SSP
Suivant - Active Directory
Cross Trust Attack
Dernière mise à jour 8d ago
Copier le lien