GenericWrite
Introduction
En Active Directory, cada objeto (usuario, grupo, equipo…) está protegido por una lista de control de acceso (ACL) cuyo conjunto de entradas (ACE) define qué acciones puede realizar cada identidad. El permiso GenericWrite actúa como una “master key” de escritura: engloba casi todos los derechos para modificar atributos y flags de un objeto, salvo aquellos que requieren permisos especiales (p. ej. resetear contraseñas).
Con GenericWrite sobre un usuario un atacante puede:
Escribir en servicePrincipalNames y lanzar un Kerberoasting dirigido.
Habilitar cuentas deshabilitadas modificando el
userAccountControl.Marcar la bandera DONT_REQ_PREAUTH en
userAccountControl, permitiendo AS-REP Roasting sin necesidad de preautenticación.Inyectar certificados en msDS-KeyCredentialLink para crear “Shadow Credentials” y autenticarse vía Kerberos PKINIT como si fuera ese usuario.
Si controla GenericWrite sobre un grupo, puede añadirse (o agregar cualquier otra cuenta) directamente al grupo, escalando privilegios al instante.
Y si lo obtiene sobre un objeto de equipo, puede tocar el atributo msDS-KeyCredentialLink del equipo, generando Shadow Credentials de máquina y autenticándose como esa cuenta de equipo mediante PKINIT.
Group
Add user to a group
En estos ejemplos, añadiremos al usuario targetUser al grupo targetGroup a través del usuario attacker que es el que dispone del privilegio GenericWrite sobre el grupo targetGroup, con lo cual podemos añadirnos a nosotros mismos o a otros usuarios.
From Linux
From Windows
User
Enable disabled user
Kerberoasting
AS-REP Roasting
Shadow Credentials
Script path
Computer
Resource-based Constrained Delegation(RBCD Attack)
References
Última actualización
¿Te fue útil?