SID History域后门及检测思路分析

最新推荐文章于 2025-03-01 20:00:42 发布
原创 最新推荐文章于 2025-03-01 20:00:42 发布 · 1.2k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全威胁分析

一、SID及SID History

1、SID定义:

  在Windows中,每个用户都有自己的SID。SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。

2、SID History定义:

  如果将A域中的域用户迁移到B域中,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。

3、攻击思路一:

 1)攻击场景

    可以看成是黄金票据的一种拿到krbtgt之后将高权限用户的SID History添加到低权限的用户中注入到内存进行Dcsync或进行远程登录等,需要注意的是该操作并不会在域控的LDAP属性中添加,只会

最低0.47元/天 解锁文章
利用SID History建立隐蔽后门
渗透之路,攻防之间皆学问
03-02 474
SID History是一个支持迁移方案的属性,使得一个账户的访问权限可以有效的克隆到另外一个账户,这在迁移过程中非常有效。例如,当Domain A中的用户迁移到Domain B时,会在Domain B中创建一个新的用户账户,并将Domain A用户的SID添加到Domain B的用户账户的SID History属性中。在实战中,红队人员可以将管理员用户的SID添加到其他用户的SID History属性中,以此建立一个隐蔽的后门。通过powershell查看yuwin7用户的属性。
控权限持久化之SID History后门
谢公子的博客
02-27 2210
每个用户都有自己的SIDSID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。SID History是在迁移过程中需要使用的一个属性。 如果将A中的用户迁移到B中,那么在B中新建的用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。SID History的作用是在迁移过程中保持用户的访问权限,即如果迁移后用户的SID改变了,系统会将...
内权限维持:SID History后门
01-29 502
01、简介 每个用户都有一个关联的安全标识符(SID),SID History的作用是在迁移过程中保持用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。 02、利用方式 (1)使用管理员权限查看test用户的SID History属性 PS C:\Users\Ad...
关于SidHistory
weixin_30952535的博客
08-12 289
先说明一下什么是SID历史,SID不可能重复,二个迁移为了保持原有的安全性微软在对象的属性中添加了SidHistory这一属性,其实SidHistory也就是原SID。如果在做二个森林之间的帐号迁移(使用ADMT2.0)且做了双向信任并加了/EnableSidHistory参数,WIN2000SP4/WIN2003默认会做FilterSIDs的操作,此时迁移帐号时会过滤掉源SID,即在...
如何利用 SID History 创建控权限后门
weixin_34245749的博客
09-14 697
本文讲的是如何利用 SID History 创建控权限后门?,本文的内容描述了一种方法,通过该方法,攻击者可以在拥有管理级别的权限的5分钟后,就可以持续的对Active Directory进行管理访问。 SID历史记录是支持迁移方案的属性。每个用户帐户都有一个关联的安全标识符(SID),用于跟踪安全主体和连接到资源时的帐户及访问权限。SID历史记...
域渗透权限维持之SID History
weixin_42282189的博客
09-06 501
作者:r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 SID的主要作用是跟踪安全主体控制用户连接资源时的访问权限。 SID History 是在迁移过程中需要使用的一个属性,SID History 主要作用是在迁移过程中保持用户的访问权限,如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移用户的SID History 属性中,使迁移后的用户保持原有的权限、能够访问其原来可以访问的资源。 因此使用mimikatz可以将SID His.
域渗透 - 权限维持 SID History
whojoe的博客
08-03 527
域渗透 - 权限维持 SID History环境搭建SID History属性介绍利用条件利用同一个内同一树下的提权利用方式参考文章 环境搭建 这里需要父子 可以参考 https://blog.youkuaiyun.com/qq_43645782/article/details/119330508 机器名 ip 用户 密码 dns fad.test.com 192.168.164.146 administrator Aa1234 192.168.164.146 cad.ch.test.com
内网渗透之权限维持-后门-SSP&HOOK&DSRM&SID&Skeleton-Key
m0_62207170的博客
05-14 867
内网渗透之权限维持-后门-SSP&HOOK&DSRM&SID&Skeleton-Key
SID History 维权
最新发布
anddddoooo的博客
03-01 381
根据微软的描述,SID History 属性是微软对内用户进行迁移的支持而创建的。每当对象从一个移动到另一个时,都会创建一个新的 SID,并且该新 SID 将成为 objectSID。先前的 SID 会添加到 SID History 属性中,以确保该用户迁移后仍然能访问迁移前能访问的资源。# 将 administrator 的 sid 添加到 deandean 的 SID History 属性中。
权限维持之:SID History 控权限维持
f_carey的博客
12-18 1131
权限维持之:SID History 控权限维持1 SID 作用2 利用 SID History 操作过程3 SID History 权限维持的防御 1 SID 作用 ​ 每个用户都有自己的SIDSID的作用主要是跟踪安全主体控制用户连接资源时的访问权限,SID History是在迁移过程中需要使用的一个属性。 ​ 如果A中的用户迁移到B中,那么该用户的SID值就会改变,进而其权限也会改变。导致迁移后的用户无法访问以前可以访问的资源。SID History的作用是在迁移过程中保持用户的访问权限
domain SID History attributes
include_heqile的博客
10-29 573
原文链接 domain SID History attributes主要用来支持的迁移 每一个用户都有一个SID用于标识安全主体以及该用户对特定资源的访问权限。 SID History使得被克隆的用户可以访问之前用户能够访问的资源。这样就可以保证当一个用户迁移到另一个中之后仍然可以访问以前所在中的资源。 因为用户迁移到新的之后,他的SID就会发生改变,所以需要将其原来的OLD SID映射...
渗透测试之子到父的横向移动(Sid History)
Candour_0的博客
02-20 524
渗透测试之子到父的横向移动(Sid History)
SID History权限维持
weixin_41082546的博客
05-05 685
一、简介   每个用户都有自己的SIDSID的作用主要是跟踪安全主体控制用户连接资源时的访问权限,SID History是在迁移过程中需要使用的一个属性。   如果A中的用户迁移到B中,那么该用户的SID值就会改变,进而其权限也会改变。导致迁移后的用户无法访问以前可以访问的资源。SID History的作用是在迁移过程中保持用户的访问权限,如果迁移后用户的SID值改变,系统会将原...
SIDHistory属性的利用
热门推荐
Shanfenglan's blog
12-24 4万+
文章目录1. 前言2.对某用户的SIDHistory属性进行操作2.1 查询zhangsan的SIDHistory2.2 给zhangsan用户添加管的sid2.3 删除zhangsan的SIDHistory属性3.利用思路3.1 权限维持3.2 利用当前用户的sidhistory属性防御方法 1. 前言 SIDHistory属性的存在是为了解决用户在迁移到另一个中的时候权限会改变的问题。例如用户zhangsan在A中本来是管理员,迁移到B的时候因为sid的改变有可能会变成普通用户权限,这时候如果给
[原创]ADMT2.0迁移案例+SIDHistory验证(第二版)-转自Winmag 作者:江小帅
技术日志
05-24 6090
[原创]ADMT2.0迁移案例+SIDHistory验证(第二版)转自:Winmag.com.cn 作者:江小帅http://desperado.blogdriver.com/仅以此篇文档献给本人(江小帅)的女朋友,因为她的存在《ADMT迁移案例+SIDHistory验证第二版》才推迟了1个多星期。她在正常作息时间上对小帅的苛刻要求才真正是这篇文档发布的绊脚石。正是在她“坚决按时吃饭、绝对保证睡眠
ADMT 迁移后用户或群组的SID HISTORY删除
weixin_34248023的博客
11-18 319
Technorati Tags: 夏明亮,ADMT,SIDHISTORY,删除,清除,clear,remove 大家都知道在两个林()之间迁移账户可以使用ADMT工具,他可以帮助我们把源中账户迁移到目标中,并把源账户的sid赋予目标账户的SIDHISTORY属性中,使得目标账户可以使用sidhistory属性来继续拥有源于中的账户的权限。 ...
常见后门技术总结与分析利用
m0_61869253的博客
08-09 551
当获取到控的权限后,为了防止对控权限的丢失,hacker也会使用一些技术来维持已获取到的权限。因此,本文对常见的后门技术进行了总结并对其利用方式进行了详细的说明,希望可以对大家的学习提供一些帮助。本文仅仅只对常见的后门技术进行了总结,希望可以对大家的学习有帮助。如有不对,欢迎指正。重新编译生成 HookPasswordChange.dll 并注入 lsass.exe 进程,当管理员修改密码时,将通过 HTTP POST方法将用户密码外带到远程服务器。
权限维持 SID-history
m0_64815693的博客
06-04 186
权限维持 SID-history
权限维持(万能密码与SID History滥用)
qq_18811919的博客
03-24 563
本篇文章讲述了万能密码SID History滥用这两种技术是较为常见内权限维持手段,这里注意介绍了mimikatz的利用方式。
SID模型产品解析与翻译汇总
"SID产品翻译汇总,涵盖了产品的基本介绍、产品综述以及业务实体间的相互关系,强调了产品规格、产品实例和业务实体在SID模型中的重要性,同时指出产品与服务和资源的紧密联系。" SID产品是业务流程建模...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值