内网渗透(七十一)之域权限维持之AdminSDHolder 滥用

AdminSDHolder 滥用

活动目录域服务使用AdminSDHolder、Protected Groups 和 Security Descriptor Propagator 来保护特权用户和特权组被恶意的修改或滥用。这个功能是在Windows 2000 服务器活动目录的第一个版本中引入的，目的是保护特定对象不会被恶意修改，但也给攻击者进行域权限维持留了一个好的隐蔽方案。

Protected Groups

自 Windows 2000 服务器中首次方法活动目录以来，Protected Groups（受保护组）的概念就一直存在。
Protected Groups指活动目录内置的一些特权对象。

Protected Groups的列表由Windows 2000 Server中的4个安全组（Administrators、Domain Admins、Enterprise Admins、Schema Admins）组成。在 Windows 2000 Server SP4 和 Windows Server 2003中还添加了其他几个组，包括管理员和Krbtgt账户。在带有SP1及更高版本的Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2016 R2的版本中，微软扩展了这个列表，增加了 Read-only Domain Controllers组。在Windows Server 2019 R2 的版本中，微软再次扩展了这个列表，增加了 Key Admins和Enterprise Key Admins 组。

Protected Groups的对象会将admin-inCount值设为1，因此可以用该值来过滤活动目录Protected Groups的对象列表。使用Adfi