免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或后果性损失承担责任。读者在使用本文内容时应当遵守当地法律法规,并保证不违反任何相关法律法规。 |
“修改计算机”是ADManager中用于管理计算机的预定义角色。如果技术人员用户对计算机具有“修改计算机”权限,则可以更改计算机对象的userAccountControl和msDS-AllowedToDelegateTo属性。通过这种方式,技术人员用户可以在组织单位内的任何计算机上设置受约束的Kerberos委派。
与ADManager声称的相反,具有“修改计算机”角色的用户可以更改Active Directory中计算机对象的权限。可以为任何服务(如CIFS、LDAP、HOST服务)设置受约束的Kerberos委派。然后,用户可以通过滥用受约束的Kerberos委派来访问这些服务。此外,可以通过更改userAccountControl属性在计算机对象上设置无约束Kerberos委派。通常,只有具有SeEnableDelegationPrivate权限的用户才能设置受约束的kerberos委派。默认情况下,只有BUILTINAdministrators组的成员才具有此权限。组织单位的委派用户无法设置受约束的kerberos委派,即使用户对计算机账户具有GenericAll权限,因此Active Directory中的委派过程不会授予此权限。但是,技术人员用户可以通过“修改计算机”角色使用SeEnableDelegationPrivilege权限。
影响版本
ADManager Plus Build < 7210 Elevation of Privilege Vulnerability
poc&exp
原文始发于微信公众号(漏洞猎人):CVE-2024-24409 | 提权
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论