Enumeracion con PowerView
Utilizando el siguiente comando podemos obtener un reporte relacionado a las ACLs de un dominio en concreto:
PS C:\Users\admin\Desktop> Get-ObjectAcl Object-Name -ResolveGUIDs
PS C:\Users\admin\Desktop> Find-InterestingDomainAcl
ObjectDN : CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corp
AceQualifier : AccessAllowed
ActiveDirectoryRights : WriteDacl
ObjectAceType : None
AceFlags : ContainerInherit
AceType : AccessAllowed
InheritanceFlags : ContainerInherit
SecurityIdentifier : S-1-5-21-1861162130-2580302541-221646211-1124
IdentityReferenceName : writedacldc.user
IdentityReferenceDomain : spartancybersec.corp
IdentityReferenceDN : CN=writedacldc.user,CN=Users,DC=spartancybersec,DC=corp
IdentityReferenceClass : userAnálisis del ACE
ObjectDN: Especifica el objeto sobre el cual se aplican los derechos. Aquí,
CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corpindica que el objeto es el controlador de dominioFIRST-DCdentro del dominiospartancybersec.corp.ActiveDirectoryRights: WriteDacl
WriteDaclsignifica "Write Discretionary Access Control List" (escribir en la lista de control de acceso discrecional). Este derecho permite al usuariowritedacldc.usermodificar la DACL del objetoFIRST-DC.La DACL es parte de la seguridad de un objeto y define quién tiene qué permisos sobre dicho objeto.
SecurityIdentifier e IdentityReference
El
SecurityIdentifier(S-1-5-21-1861162130-2580302541-221646211-1124) yIdentityReference(writedacldc.user) identifican al usuario que tiene este derecho.
Posibles Abusos por un Atacante
Si un atacante compromete la cuenta writedacldc.user, podría abusar del derecho WriteDacl de varias maneras:
Modificación de Permisos
El atacante podría modificar los permisos del controlador de dominio
FIRST-DCpara otorgar derechos adicionales a otros usuarios o cuentas controladas por el atacante. Esto podría incluir otorgar derechos de administrador o permisos para realizar acciones críticas.
Última actualización
¿Te fue útil?