Enumeracion con PowerView
Utilizando el siguiente comando podemos obtener un reporte relacionado a las ACLs de un dominio en concreto:
Nosotros nos vamos a enfocar en este ACE especifico que esta relacionado con el usuario writedacldc.user
Análisis del ACE
ObjectDN: Especifica el objeto sobre el cual se aplican los derechos. Aquí,
CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corpindica que el objeto es el controlador de dominioFIRST-DCdentro del dominiospartancybersec.corp.ActiveDirectoryRights: WriteDacl
WriteDaclsignifica "Write Discretionary Access Control List" (escribir en la lista de control de acceso discrecional). Este derecho permite al usuariowritedacldc.usermodificar la DACL del objetoFIRST-DC.La DACL es parte de la seguridad de un objeto y define quién tiene qué permisos sobre dicho objeto.
SecurityIdentifier e IdentityReference
El
SecurityIdentifier(S-1-5-21-1861162130-2580302541-221646211-1124) yIdentityReference(writedacldc.user) identifican al usuario que tiene este derecho.
Posibles Abusos por un Atacante
Si un atacante compromete la cuenta writedacldc.user, podría abusar del derecho WriteDacl de varias maneras:
Modificación de Permisos
El atacante podría modificar los permisos del controlador de dominio
FIRST-DCpara otorgar derechos adicionales a otros usuarios o cuentas controladas por el atacante. Esto podría incluir otorgar derechos de administrador o permisos para realizar acciones críticas.
Última actualización