GenericWrite sobre computador
Vamos a iniciar, realizando una conversion de texto a SID:
PS C:\Users\admin\Desktop> $user = Get-ADUser -Identity "compwrite.user"
PS C:\Users\admin\Desktop> $user.SID
BinaryLength AccountDomainSid Value
------------ ---------------- -----
28 S-1-5-21-1861162130-2580302541-221646211 S-1-5-21-1861162130-2580302541-221646211-1120Luego de lo anterior, hemos determinado que el SID del usuario compwrite.user es S-1-5-21-1861162130-2580302541-221646211-1120
Teniendo en cuenta lo anterior, vamos analizar las ACL del computador afectado:
Get-ObjectAcl -SamAccountName First-DC -ResolveGUIDs | Where-Object {$_.ActiveDirectoryRights -eq "GenericWrite" -and $_.SecurityIdentifier -eq "S-1-5-21-1861162130-2580302541-221646211-1120"}
AceType : AccessAllowed
ObjectDN : CN=FIRST-DC,OU=Domain Controllers,DC=spartancybersec,DC=corp
ActiveDirectoryRights : GenericWrite
OpaqueLength : 0
ObjectSID : S-1-5-21-1861162130-2580302541-221646211-1009
InheritanceFlags : ContainerInherit
BinaryLength : 36
IsInherited : False
IsCallback : False
PropagationFlags : None
SecurityIdentifier : S-1-5-21-1861162130-2580302541-221646211-1120
AccessMask : 131112
AuditFlags : None
AceFlags : ContainerInherit
AceQualifier : AccessAllowedLa conclusión de la información proporcionada es que en el entorno de Active Directory de spartancybersec.corp, el usuario compwrite.user (identificado por el SID S-1-5-21-1861162130-2580302541-221646211-1120) tiene derechos de GenericWrite sobre el controlador de dominio FIRST-DC. Esto significa que compwrite.user tiene permisos para modificar ciertos atributos o propiedades de este objeto de controlador de dominio. Aunque GenericWrite no otorga un control tan amplio como GenericAll, sigue siendo significativo, ya que permite realizar cambios que podrían afectar la configuración y la seguridad del controlador de dominio.
Para este escenario, seria necesario continuarlo con el ataque RBCD.
Última actualización
¿Te fue útil?