GenericAll sobre usuario
Vamos a iniciar, realizando una conversion de texto a SID:
PS C:\> $user = Get-ADUser -Identity "userall.user"
PS C:\> $user.SID
BinaryLength AccountDomainSid Value
------------ ---------------- -----
28 S-1-5-21-1861162130-2580302541-221646211 S-1-5-21-1861162130-2580302541-221646211-1118Luego de lo anterior, hemos determinado que el SID del usuario userall.user es S-1-5-21-1861162130-2580302541-221646211-1118
Teniendo en cuenta lo anterior, vamos analizar las ACL del usuario afectado:
PS C:\> Get-ObjectAcl -SamAccountName userwrite.user -ResolveGUIDs | Where-Object {$_.ActiveDirectoryRights -eq "GenericAll" -and $_.SecurityIdentifier -eq "S-1-5-21-1861162130-2580302541-221646211-1118"}
AceType : AccessAllowed
ObjectDN : CN=userwrite.user,CN=Users,DC=spartancybersec,DC=corp
ActiveDirectoryRights : GenericAll
OpaqueLength : 0
ObjectSID : S-1-5-21-1861162130-2580302541-221646211-1117
InheritanceFlags : ContainerInherit
BinaryLength : 36
IsInherited : False
IsCallback : False
PropagationFlags : None
SecurityIdentifier : S-1-5-21-1861162130-2580302541-221646211-1118
AccessMask : 983551
AuditFlags : None
AceFlags : ContainerInherit
AceQualifier : AccessAllowedLa conclusión de la información recopilada es que en el entorno de Active Directory de spartancybersec.corp, el usuario userall.user (con SID S-1-5-21-1861162130-2580302541-221646211-1118) tiene derechos GenericAll sobre el objeto CN=userwrite.user,CN=Users,DC=spartancybersec,DC=corp. Esto implica un nivel significativo de control, ya que GenericAll otorga a userall.user permisos completos sobre el objeto userwrite.user, incluyendo la capacidad de modificar, eliminar o realizar cualquier acción sobre este objeto.
Vamos a realizar una impersonation sobre el usuario atacante desde User-Server:
Despues de lo anterior, podemos revisar con klist:
Y finalizamos, realizando un cambio de contraseña sobre el usuario victima:
Última actualización
¿Te fue útil?