HackTricksAbusing Active Directory ACLs/ACEs
Reading time: 5 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na đŹ kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter đŚ @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Overview
Delegated Managed Service AccountsâŻ(dMSAs) ni aina mpya ya AD principal iliyozintroduced na Windows Server 2025. Zimeundwa kubadilisha akaunti za huduma za zamani kwa kuruhusu âmuhamalaâ wa bonyeza moja ambao kiotomatiki unakopi Majina ya Kitaalamu ya Huduma (SPNs), uanachama wa vikundi, mipangilio ya uwakilishi, na hata funguo za cryptographic katika dMSA mpya, ikitoa programu mabadiliko yasiyo na mshono na kuondoa hatari ya Kerberoasting.
Watafiti wa Akamai waligundua kuwa sifa moja â msDSâManagedAccountPrecededByLink â inamwambia KDC ni akaunti gani ya zamani ambayo dMSA âinasimamiaâ. Ikiwa mshambuliaji anaweza kuandika sifa hiyo (na kubadilisha msDSâDelegatedMSAState ââŻ2), KDC itajenga PAC ambayo inapata kila SID ya mwathirika aliyechaguliwa, ikiruhusu dMSA kuiga mtumiaji yeyote, ikiwa ni pamoja na Wasimamizi wa Kikoa.
What exactly is a dMSA?
- Imejengwa juu ya teknolojia ya gMSA lakini inahifadhiwa kama darasa jipya la AD
msDSâDelegatedManagedServiceAccount. - Inasaidia muhamala wa kujiandikisha: kuita
StartâADServiceAccountMigrationkunahusisha dMSA na akaunti ya zamani, kunatoa akaunti ya zamani ruhusa ya kuandika kwenyemsDSâGroupMSAMembership, na kubadilishamsDSâDelegatedMSAStateâŻ=âŻ1. - Baada ya
CompleteâADServiceAccountMigration, akaunti iliyozuiliwa inazuiliwa na dMSA inakuwa na kazi kamili; mwenyeji yeyote ambaye hapo awali alitumia akaunti ya zamani kiotomatiki anaruhusiwa kuvuta nenosiri la dMSA. - Wakati wa uthibitishaji, KDC inaingiza kidokezo cha KERBâSUPERSEDEDâBYâUSER ili wateja wa Windows 11/24H2 wajaribu tena kwa uwazi na dMSA.
##Â Requirements to attack
- Angalau Windows Server 2025 DC ili dMSA LDAP darasa na mantiki ya KDC iwepo.
- Haki zozote za kuunda vitu au kuandika sifa kwenye OU (OU yoyote) â e.g.
Create msDSâDelegatedManagedServiceAccountau kwa urahisi Create All Child Objects. Akamai iligundua kuwa 91âŻ% ya wapangaji wa ulimwengu halisi wanatoa ruhusa za âbenignâ za OU kwa wasimamizi wasio. - Uwezo wa kuendesha zana (PowerShell/Rubeus) kutoka kwa mwenyeji yeyote aliyeunganishwa na kikoa ili kuomba tiketi za Kerberos. Hakuna udhibiti juu ya mtumiaji wa mwathirika unahitajika; shambulio haligusi akaunti ya lengo moja kwa moja.
Stepâbyâstep: BadSuccessor*privilege escalation
- Tafuta au unda dMSA unayodhibiti
NewâADServiceAccount Attacker_dMSA `
âDNSHostName ad.lab `
âPath "OU=temp,DC=lab,DC=local"
Kwa sababu umekunda kitu ndani ya OU unachoweza kuandika, moja kwa moja unamiliki sifa zake zote.
- Simuliza âmuhamala ulio kamilikaâ katika maandiko mawili ya LDAP:
- Weka
msDSâManagedAccountPrecededByLink = DNya mwathirika yeyote (e.g.CN=Administrator,CN=Users,DC=lab,DC=local). - Weka
msDSâDelegatedMSAState = 2(muhamala umekamilika).
Zana kama SetâADComputer, ldapmodify, au hata ADSI Edit zinafanya kazi; haki za msimamizi wa kikoa hazihitajiki.
- Omba TGT kwa dMSA â Rubeus inasaidia bendera ya
/dmsa:
Rubeus.exe asktgs /targetuser:attacker_dmsa$ /service:krbtgt/aka.test /dmsa /opsec /nowrap /ptt /ticket:<Machine TGT>
PAC iliyorejeshwa sasa ina SID 500 (Msimamizi) pamoja na vikundi vya Wasimamizi wa Kikoa/Wasimamizi wa Biashara.
Gather all the users passwords
Wakati wa muhajirisho halali KDC lazima iruhusu dMSA mpya kufungua tiketi zilizotolewa kwa akaunti ya zamani kabla ya mabadiliko. Ili kuepuka kuvunja vikao vya moja kwa moja inatia funguo zote za sasa na funguo za awali ndani ya blob mpya ya ASN.1 inayoitwa KERBâDMSAâKEYâPACKAGE.
Kwa sababu muhajirisho wetu wa uwongo unadai dMSA inasimamia mwathirika, KDC kwa uaminifu inakopi funguo za RC4âHMAC za mwathirika kwenye orodha ya funguo za awali â hata kama dMSA haikuwa na nenosiri âla awaliâ. Funguo hiyo ya RC4 haina chumvi, hivyo kwa ufanisi ni hash ya NT ya mwathirika, ikimpa mshambuliaji uwezo wa kuvunja nje au âkupitisha-hashâ.
Hivyo basi, kuunganisha maelfu ya watumiaji kunaruhusu mshambuliaji kutupa hash âkwa kiwango,â kubadilisha BadSuccessor kuwa msingi wa kupandisha hadhi na kuathiri sifa.
Tools
- https://github.com/akamai/BadSuccessor
- https://github.com/logangoins/SharpSuccessor
- https://github.com/LuemmelSec/Pentest-Tools-Collection/blob/main/tools/ActiveDirectory/BadSuccessor.ps1
References
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na đŹ kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter đŚ @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.