Utilizando PowerView
Enumeracion de GPO con PowerView:
El siguiente comando entrega todas las GPO utilizando una GPO:
PS C:\Users\admin\Desktop> Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name}
AceType : AccessAllowed
ObjectDN : CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=spartancybersec,DC=corp
ActiveDirectoryRights : CreateChild, DeleteChild, ReadProperty, WriteProperty, GenericExecute
OpaqueLength : 0
ObjectSID :
InheritanceFlags : ContainerInherit
BinaryLength : 36
IsInherited : False
IsCallback : False
PropagationFlags : None
SecurityIdentifier : S-1-5-21-1861162130-2580302541-221646211-1121
AccessMask : 131127
AuditFlags : None
AceFlags : ContainerInherit
AceQualifier : AccessAllowed
Análisis Técnico de la ACE
AceType: AccessAllowed
Esta ACE otorga permisos en lugar de denegarlos. Indica que las acciones especificadas están permitidas para el sujeto identificado por el
SecurityIdentifier
.
ObjectDN
CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=spartancybersec,DC=corp
es el Distinguished Name del objeto de política de grupo (GPO) al que se aplica esta ACE. Este nombre único identifica la GPO dentro del dominiospartancybersec.corp
.
ActiveDirectoryRights
Los derechos asignados incluyen
CreateChild
,DeleteChild
,ReadProperty
,WriteProperty
, yGenericExecute
.CreateChild y DeleteChild: Permiten crear o eliminar objetos hijos dentro del contexto de esta GPO.
ReadProperty y WriteProperty: Permiten leer y modificar las propiedades de la GPO.
GenericExecute: Permite ejecutar acciones genéricas, aunque este permiso puede necesitar interpretación adicional según el contexto.
SecurityIdentifier
S-1-5-21-1861162130-2580302541-221646211-1121
representa al usuario o grupo al que se aplican estos permisos. Este SID necesita ser resuelto para identificar al sujeto específico dentro del dominio.
InheritanceFlags: ContainerInherit
Indica que esta ACE se hereda a los objetos contenedores dentro de la GPO. Es relevante para entender cómo se propagan los permisos a través de las políticas.
AccessMask: 131127
Es una representación numérica de los permisos específicos otorgados, útil para interpretaciones programáticas o de scripts.
AuditFlags y AceFlags
AuditFlags: None
indica que no hay configuraciones específicas de auditoría asociadas con esta ACE.AceFlags: ContainerInherit
reafirma la herencia de contenedor de esta ACE.
Implicaciones en Seguridad
Análisis de Riesgo: La presencia de derechos como
WriteProperty
yCreateChild
en una GPO es significativa, ya que las GPOs afectan a múltiples usuarios y máquinas en un dominio. La capacidad de modificar una GPO puede llevar a cambios en la configuración de seguridad o políticas operativas a lo largo de toda la red.Punto de Explotación Potencial: Un atacante que gana control sobre una cuenta con estos derechos en una GPO podría potencialmente implementar cambios perjudiciales o maliciosos en la política de grupo, afectando a todo el dominio.
Si realizamos una conversion de SID, podemos apreciar que corresponde al usuario:
PS C:\> $sid = New-Object System.Security.Principal.SecurityIdentifier("S-1-5-21-1861162130-2580302541-221646211-1121")
PS C:\> $user = $sid.Translate([System.Security.Principal.NTAccount])
PS C:\> $user.Value
SPARTANCYBERSEC\gpowrite.user
Última actualización
¿Te fue útil?