0x01 前言
在最近的一次实战域环境中,我进入到了一个包括两个子域在内的域森林中,当我获得父域管理员权限的时候,拿着域管凭证去登录子域服务器,发现这是不可行的,在这之前,我认为父域和子域既然是双向可传递父子信任关系,那么父域的域管凭证理应是可以登录子域的,子域域管理应也可以登录父域,但我发现不是如此,所以本文对父域和子域进行了探究,父域和子域到底存在什么样的信任关系,以及在实战环境下,如何实现父域管理员能够登录子域控制器。
0x02 环境准备
根域DC:192.168.93.30
子域DC:192.168.93.11
根域已经安装,现在来创建子域,按步骤进行操作
DNS一定要指向根域服务器
一直下一步之后,点击安装即可完成
安装完成后,子域服务器就创建成功
0x03 探究父域和子域的信任关系
按照上面的环境搭建 父域:whoamianony.org 子域:ziyu.whoamianony.org
我将客户机PC1加入父域,客户机PC2加入子域,父域有一个用户为whoami,子域有一个用户为ziyu,接下来进行测试
① 默认情况下,使用PC1中的用户ziyu登录到子域,可以成功
② 使用PC1中用户ziyu登录父域,发现失败
③ 使用PC2中用户whoami登录到父域,发现可以登录
④ 使用PC2中用户whoami登录到子域,发现失败
结论:通过以上测试发现,不同域中的用户是不能在不同的域中进行登陆,但父子域中的任何用户都可以在父子域中的客户机上登陆到自己域中。
0x04 父子域管理员权限探究
1、环境准备
根域管理员
whoamianony.org\gyadmin(加入到 Domain Admins组中)
whoamianony.org\administrator
子域管理员
ziyu.whoamianony.org\administrator
在模拟环境中,我模仿了已经取得根域管理员gyadmin的权限,现在要去登录子域控制器
我发现这根本登陆不了,和我在真实环境中遇到的一样,从上面的结论来看,父子域中的任何用户都可以在父子域中的客户机上登陆到自己域中,所以我尝试了是否可以登录子域客户机
我利用了父域的管理员权限成功登录了子域客户机
然后我又利用根域的administrator权限去登录子域控制器的时候,我发现是可以登录的
而子域的administrator权限去登录根域控制器是不能登录的
查看根域administrator的属组
其中包含有Enterprise Admins组,这是创建时就会存在的,而子域administrator是没有这个属组的
0x05 Enterprise Admins组
一、简介:该组在林中每个域内都是Administrators组的成员,因此对所有域控制器都有完全访问权。
二、通用组、全局组、本地域组的区别
全局组:单域用户访问多域资源(必须是一个域里面的用户),可在林中的任何域中指派权限
通用组:多域用户访问多域资源,可在该域树或林中的任何域中指派权限
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;
本地域组:多域用户访问单域资源(访问同一个域),只能在其所在域内指派权限。
而Enterprise Admins是属于通用组,并且存在全局编录(GC),GC中不仅包含通用组,而且还包含通用组的成员信息,即整个林都可以识别到全局编录的用户
以下命令是查看当前域中的GC
从上面的分析得出应该是Enterprise Admins组再起作用,下面将对Enterprise Admins组进行测试
0x06 加入Enterprise Admins组测试
我将gyadmin加入Enterprise Admins组之后,登陆子域控制器成功
命令:net group “enterprise admins” gyadmin /add /domain
0x07 总结
在建立域信任关系之后,父子域中的任何用户都可以在父子域中的客户机上登陆到自己域中。但是父域对子域没有管理权限,子域控上不存在根域的域管账号,所以根域管是无法登录到子域控中的,如果根域管拥有Enterprise Admins组权限,即可以登录。
发表评论
您还未登录,请先登录。
登录