search
Comprar cursoYouTubeTwitterLinkedIn

Enumeracion con PowerView

Utilizando el siguiente comando podemos obtener un reporte relacionado a las ACLs de un dominio en concreto:

PS C:\Users\admin\Desktop> Get-ObjectAcl Object-Name -ResolveGUIDs
PS C:\Users\admin\Desktop> Find-InterestingDomainAcl
ObjectDN                : CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corp
AceQualifier            : AccessAllowed
ActiveDirectoryRights   : WriteDacl
ObjectAceType           : None
AceFlags                : ContainerInherit
AceType                 : AccessAllowed
InheritanceFlags        : ContainerInherit
SecurityIdentifier      : S-1-5-21-1861162130-2580302541-221646211-1124
IdentityReferenceName   : writedacldc.user
IdentityReferenceDomain : spartancybersec.corp
IdentityReferenceDN     : CN=writedacldc.user,CN=Users,DC=spartancybersec,DC=corp
IdentityReferenceClass  : user
circle-info

Nosotros nos vamos a enfocar en este ACE especifico que esta relacionado con el usuario writedacldc.user

hashtag
Análisis del ACE

  1. ObjectDN: Especifica el objeto sobre el cual se aplican los derechos. Aquí, CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corp indica que el objeto es el controlador de dominio FIRST-DC dentro del dominio spartancybersec.corp.

  2. ActiveDirectoryRights: WriteDacl

    • WriteDacl significa "Write Discretionary Access Control List" (escribir en la lista de control de acceso discrecional). Este derecho permite al usuario writedacldc.user modificar la DACL del objeto FIRST-DC.

    • La DACL es parte de la seguridad de un objeto y define quién tiene qué permisos sobre dicho objeto.

  3. SecurityIdentifier e IdentityReference

    • El SecurityIdentifier (S-1-5-21-1861162130-2580302541-221646211-1124) y IdentityReference (writedacldc.user) identifican al usuario que tiene este derecho.

hashtag
Posibles Abusos por un Atacante

Si un atacante compromete la cuenta writedacldc.user, podría abusar del derecho WriteDacl de varias maneras:

  1. Modificación de Permisos

    • El atacante podría modificar los permisos del controlador de dominio FIRST-DC para otorgar derechos adicionales a otros usuarios o cuentas controladas por el atacante. Esto podría incluir otorgar derechos de administrador o permisos para realizar acciones críticas.

AnteriorAbuso de ACLSiguienteTipos de permisos

Última actualización