本文介绍了SID History在域权限维持中的滥用情况,详细阐述了攻击者如何通过添加域管理员的SID到普通用户SID History中获取额外权限。同时,文章提到了防御策略,包括使用Powershell检测SID History滥用、使用mimikatz清除SID History以及建议的防御措施,以保障网络安全。
域权限维持之SID History 滥用
SID是用于标识主体的可变长度的唯一值,每个账户都有一个系统颁发的唯一SID,其存储在数据库(域中的话就存储在活动目录数据库中)。用户每次登录时,系统都会从数据库中检索该用户的SID,并将其放在该用户的访问令牌中。系统使用访问令牌中的SID来识别与Windows安全所有后续交互中的用户。当SID被用作用户或组的唯一标识符时,他再也不能用于标识另一个用户或组。在活动目录数据库中对象的objectSid属性值就是SID。SID History 是为了域迁移场景而设计的一个属性,它使得账户的原本访问权限能够有效的克隆到另一个账户,对于确保用户从一个域迁移到另一个域时保留访问权限非常有用。如果A域中的域用户迁移到B域中,那么B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问原来可以访问的资源。而SID改变了,系统会将其原来的SID添加到迁移后用户的SID History 属性中的作用是在域在迁移过程中保持域用户的SID History属性中。用户在访问资源时,SID和SID History都会被添加到用户的访问令牌中,使得迁移后的用户既能拥有现有的权限,又能保持原有的权限,能够访问其原来可以访问的资源。
SID History 本意是为了域迁移场景而设计的一个属性,但是也给了攻击者可乘之机。攻击者可以利用SID History属性进行隐蔽的域权限维持。
订阅专栏 解锁全文
扫一扫
1033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
