CheatSheet> Import-Module ActiveDirectory# 권한을 부여할 사용자의 SID를 get / ACE를 구성할 때 사용> $usid = (Get-ADUser -Identity [username]).SID # target principal의 DN / ACL object를 가져오고 변경 사항을 적용할 때 사용> $object_dn = "CN=[target],OU=[object unit],DC=[domain],DC=[tld]" # target principal의 ACL Object를 get> $acl_object = Get-ACL -Path "AD:$object_dn"# 적용할 ACE 생성> $ace = New-Object System.DirectoryServices.ActiveDi..
Red Teaming
![](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FoU0Hi%2FbtsH0OCwyHQ%2FdfntxitKaFUFJmCF8bBkmk%2Fimg.png)
사실 DCSync는 BloodHound에서 표시해주는 용어로 DACL은 아니지만, 편의상 DACL 카테고리로 분류했다. DCSync?AD 환경에는 Domain Controller 간의 데이터 동기화를 위한 과정인 Replication이 존재한다.Replication에 사용되는 특별한 권한들이 있는데, 이를 이용하면 NTDS.dit 데이터를 추출할 수 있다.이 특별한 권한들을 통틀어서 BloodHound에서 DCSync라는 Edge로 표시해준다.⇒ Domain에 대한 DCSync Edge가 있다면 NTDS.dit을 추출할 수 있다. Replication?여러 Domain Controller로 구성된 AD 환경의 경우, 각 DC 간의 데이터 동기화를 위해 Replication을 수행해야한다.이 때 사용되는 ..
JuicyPotato?SeImpersonate, SeAssignPrimaryToken 권한을 통한 LPEWindows Server 2019, Windows 10 build 1809 위로는 작동하지 않는다.JuicyPotato는 com 취약점을 악용하여 NT System Token을 얻고 이를 통해 프로세스를 생성하는 방식으로 동작하는데, 위 버전부터 해당 취약점이 동작하지 않아 작동이 안된다. CheatSheet# -l : com 요청을 수신할 포트. 안쓰이고 있는 아무 포트나 적어도 된다.# -p : NT System 권한으로 실행할 프로그램# -a : 실행할 프로그램에 줄 인자# -t : process 생성에 사용할 api. *을 주면 알아서 선택해서 해준다.## SeImpersonate -> Cre..
PrintSpoofer?SeImpersonate 권한이 있는 상황에서 LPE를 수행해주는 도구 https://github.com/itm4n/PrintSpoofer GitHub - itm4n/PrintSpoofer: Abusing impersonation privileges through the "Printer Bug"Abusing impersonation privileges through the "Printer Bug" - itm4n/PrintSpoofergithub.com CheetSheet# -c : 실행할 명령# -i : -c를 통해 실행한 프로세스와 interactive (기본적으론 non-interactive)## cmd, powershell을 실행시킬 경우 상호작용을 해야하므로 -i 옵션을 ..