AdminSDHolder, Active Directory'deki belirli kullanıcı ve gruplar (örneğin, Domain Admins, Enterprise Admins) için varsayılan güvenlik izinlerini içeren bir kapsayıcıdır. Bu nesne, bu hesapların izinlerinin yanlışlıkla değiştirilmesini önlemek için bir şablon olarak kullanılır.
Bir kullanıcı hesabı, AdminSDHolder'ın erişim kontrol listesine (ACL) eklendiğinde, bu kullanıcı "GenericAll" izinlerini kazanır. Bu izin, o kullanıcıya domain yöneticilerine eşdeğer ayrıcalıklar sağlar.
1. PowerView Modülünü Yükleyin
PowerView, PowerShell Empire tarafından sağlanan, Active Directory ortamlarını araştırmak ve sömürmek için kullanılan bir PowerShell modülüdür. İndirmek için : https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerView/powerview.ps1
Import-Module ./powerview.psm1
2. AdminSDHolder ACL'sine Kullanıcı Ekleme
Aşağıdaki komutla bir kullanıcıyı AdminSDHolder ACL'sine ekleyebilirsiniz. Bu işlem, kullanıcının domain yöneticilerine eşdeğer haklar elde etmesini sağlar.
Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName Martin -Verbose -Rights All
-TargetADSprefix: AdminSDHolder nesnesinin tam LDAP yolunu belirtir.
-PrincipalSamAccountName: Hakların atanacağı kullanıcının SAM hesabı adı (bu örnekte "Martin").
-Rights: Kullanıcıya verilecek izinler (bu örnekte "All")
3. Kullanıcının İzinlerini Doğrulama
Yukarıdaki işlemi doğrulamak için, kullanıcının mevcut izinlerini kontrol edebilirsiniz.
Get-ObjectAcl -SamAccountName "Martin” -ResolveGUIDs
Bu komut, kullanıcının mevcut ACL'lerini çözümleyerek görüntüler.
Sonuç
Bu teknikle, saldırganlar bir kullanıcıyı AdminSDHolder ACL'sine ekleyerek, kullanıcıya domain yöneticilerine eşdeğer haklar verebilir. Bu, Active Directory ortamında kalıcılığı sağlamak için oldukça güçlü bir yöntemdir, çünkü saldırganlar bu kullanıcıyı kullanarak sistem üzerinde geniş kapsamlı kontrol elde edebilirler. Ayrıca, bu işlemler çoğu zaman fark edilmeden gerçekleştirilebilir, bu nedenle AD ortamlarının düzenli olarak denetlenmesi kritik öneme sahiptir.