GenericWrite sobre computador

Vamos a iniciar, realizando una conversion de texto a SID:
PS C:\Users\admin\Desktop> $user = Get-ADUser -Identity "compwrite.user"
PS C:\Users\admin\Desktop> $user.SID
BinaryLength AccountDomainSid Value
------------ ---------------- -----
28 S-1-5-21-1861162130-2580302541-221646211 S-1-5-21-1861162130-2580302541-221646211-1120
Luego de lo anterior, hemos determinado que el SID del usuario compwrite.user
es S-1-5-21-1861162130-2580302541-221646211-1120
Teniendo en cuenta lo anterior, vamos analizar las ACL del computador afectado:
Get-ObjectAcl -SamAccountName First-DC -ResolveGUIDs | Where-Object {$_.ActiveDirectoryRights -eq "GenericWrite" -and $_.SecurityIdentifier -eq "S-1-5-21-1861162130-2580302541-221646211-1120"}
AceType : AccessAllowed
ObjectDN : CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corp
ActiveDirectoryRights : GenericWrite
OpaqueLength : 0
ObjectSID : S-1-5-21-1861162130-2580302541-221646211-1009
InheritanceFlags : ContainerInherit
BinaryLength : 36
IsInherited : False
IsCallback : False
PropagationFlags : None
SecurityIdentifier : S-1-5-21-1861162130-2580302541-221646211-1120
AccessMask : 131112
AuditFlags : None
AceFlags : ContainerInherit
AceQualifier : AccessAllowed
La conclusión de la información proporcionada es que en el entorno de Active Directory de spartancybersec.corp
, el usuario compwrite.user
(identificado por el SID S-1-5-21-1861162130-2580302541-221646211-1120
) tiene derechos de GenericWrite
sobre el controlador de dominio FIRST-DC
. Esto significa que compwrite.user
tiene permisos para modificar ciertos atributos o propiedades de este objeto de controlador de dominio. Aunque GenericWrite
no otorga un control tan amplio como GenericAll
, sigue siendo significativo, ya que permite realizar cambios que podrían afectar la configuración y la seguridad del controlador de dominio.
Para este escenario, seria necesario continuarlo con el ataque RBCD.
Última actualización
¿Te fue útil?