DRODZY ADMINISTRATORZY!

bezpieczniak

 

UWAGA: Wszelkie działania opisane w tym artykule służą tylko i wyłącznie celom edukacyjnym. Zabronione jest wykonywanie tego typu działań na środowiskach produkcyjnych bez wyraźnej zgody pisemnej właściciela systemu.

– Zastanawialiście się może kiedyś, co może zrobić użytkownik
w Waszej domenie Active Directory, jeśli dacie mu prawa lokalnego Administratora (i tylko takie)?
– Nic, poza zadaniami administratora lokalnego!
– Na pewno nic poza tym?
– Na pewno.
– Jesteście pewni?
– Ale jak to?
– No to patrzcie:

Uruchamiamy PowerShell na uprawnieniach lokalnego Administratora
i wykonujemy serię komend:

Następnie w narzędziu wykonujemy komendę:

image 2

Otrzymujemy listę użytkowników, którzy logowali się do komputera naszego lokalnego Administratora oraz hashe ich haseł. Wśród nich jest…
– TAK. Administrator Domeny!
– Co z tym możemy zrobić?
Uruchamiamy komendę:

image 3

Otwiera się nam wiersz poleceń. Wykonujemy kolejno komendy:

image 4
image 5
image 6
image 7

Wylogowujemy się z konta Administartora lokalnego i logujemy kontem Administratora Domenowego na naszej stacji roboczej!

Pamiętajcie! Logowanie się kontem administratora domenowego na komputerach zwykłych użytkowników nie jest dobrą praktyką! Unikajcie tego! Zdefiniujcie i wprowadźcie zasadę 3-stopniowej (lub innej) administracji Waszym środowiskiem ActiveDirectory. Monitorujcie logowania administracyjne na Waszych systemach!

#PriviledgeEscalation #ActiveDirectory #KaliLinux #EvilWinRM #Mimikatz #EndpointProtection #DeviceControl #NetworkProtection #Syslog #ManageEngine #ADAudtiPlus