11.All attributes
- [MS-ADA3]: Attributes | Microsoft Learn(里面无
attributeSecurityGuid) - All Attributes - Win32 apps | Microsoft Learn
- Access Control · CravateRouge/bloodyAD Wiki · GitHub
里面含有所有属性的定义,我们主要关注其attributeSecurityGuid和ldapDisplayName以及schemaIdGuid即可
1. 手动枚举DACL
我们通常使用 bloodhound 对域内对象的ACL进行直观的分析,从而快速寻找到攻击链。 但是 bloodhound 并不总是可以显示的很完整
所以我们有时候需要用到手动枚举的方式去寻找,目标对象是否配置有可以利用的ACE。
常用的手工枚举工具是 bloodyAD
1.1. 例子1
我希望查看 dc01$ 上是否有配置 RBCD
那么我们可以执行以下命令
┌──(root㉿kali)-[~/Desktop/htb/season8/Mirage]
└─# bloodyAD --host 10.10.11.78 -d mirage.htb -k --dc-ip dc01.mirage.htb get object 'dc01$' |grep 'msDS-AllowedToActOnBehalfOfOtherIdentity'
msDS-AllowedToActOnBehalfOfOtherIdentity: O:S-1-5-32-544D:(A;;0xf01ff;;;S-1-5-21-2127163471-3824721834-2568365109-1112)
- 其中
msDS-AllowedToActOnBehalfOfOtherIdentity是Ldap-Display-Name参考:ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity attribute - Win32 apps | Microsoft Learn - 如果使用
Ldap-Display-Name搜索不到,可以使用attributeSecurityGuid进行过滤
1.2. 例子2
如使用 attributeSecurityGuid 查询 mark.bbond 上有关UPN的ACE
┌──(root㉿kali)-[~/Desktop/htb/season8/Mirage]
└─# bloodyAD --host 10.10.11.78 -d mirage.htb -k --dc-ip dc01.mirage.htb get object 'mark.bbond'|grep 'e48d0154-bcf8-11d1-8702-00c04fb96050'
(OA;;WP;e48d0154-bcf8-11d1-8702-00c04fb96050;;S-1-5-21-2127163471-3824721834-2568365109-1112)
e48d0154-bcf8-11d1-8702-00c04fb96050是userPrincipalName属性的attributeSecurityGuid参考:[MS-ADA3]: Attribute userPrincipalName | Microsoft Learn