杂言
域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分,分别是计算机配置和用户配置。
AdminSDHolder是一个特殊的AD容器,具有一些默认安全权限,用作受保护的AD账户和组的模板。
Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。
如果能够修改AdminSDHolder对象的ACL,那么修改的权限将自动应用于所有受保护的AD账户和组,这可以作为一个域环境权限维持的方法。
正文
本文环境:
可以通过属性查到GUID
在目录下新增一个文件
回到组策略,新增文件
回到win7,已经生效,只是因为环境的原因无法弹计算机
刚才是展示组策略的一种攻击手法,如果这时候普通域用户可以写入,那这时候就是一种后门了。
使用accesschk查看权限
给普通域用户添加权限
继续查看权限,发现普通域用户已经有权限了,这时候就产生了后门
AdminSDHolder用于保护一个关键对象,但如果被利用,也会造成一个持久化的沦陷。
打开ADSI
添加权限
然后通过LDP的RunProtectAdminGroupsTask,将ACL同步到受保护的对象上。
更改执行周期
查看Administrator对象,已经完全控制了
原文始发于微信公众号(Th0r安全):组策略攻击后门与AdminSDHolder
