前言關于域內ACL的攻防近兩年經常被人所提起，同時也產生了很多關于域內ACL相關的工具和攻擊方式，本文將會從ACL的概念談起，然后介紹幾種不同的域內攻擊方式以及如何監測和防御對于ACL的攻擊。ACL的概念和作用ACM：

首先想要了解ACL首先需要了解Access Control Model(訪問控制模型)，根據官網

(https://docs.microsoft.com/zh-cn/windows/win32/secauthz/access-control-model)給出的定義：
訪問控制模型能夠控制進程訪問一些安全對象，或者是控制進程執行各種系統管理任務。原文：The access control model enables you to control the ability of a process to access securable objects or to perform various system administration tasks。
用通俗一點的話來說ACM就是一個判斷你在一個檔案館(在這里可以理解為整個域)里是否有權限打開某個檔案抽屜(用戶對象、用戶組對象、Computer對象)，并且是否能在這個檔案抽屜中取走、存放、修改檔案(讀、寫、修改)的一個模型。
訪問模型包含哪些部分：1、Access Tokens(訪問tokens)2、Security Descriptors(安全描述符) a、Discretionary Access Control List (DACL) b、System Access Control List (SACL)Access Control Lists(ACL)Access Control Entries(ACE)Access Rights and Access Masks(訪問權限和訪問掩碼)Access Token：當線程與安全對象交互或嘗試執行需要特權的系統任務時，系統使用訪問令牌來標識用戶，訪問令牌包括用戶的SID、所在組的SID等等信息：The security identifier (SID) for the user's accountSIDs for the groups of which the user is a memberA logon SID that identifies the current logon sessionA list of the privileges held by either the user or the user's groupsAn owner SIDThe SID for the primary groupThe default DACL that the system uses when the user creates a securable object without specifying a security descriptorThe source of the access tokenWhether the token is a primary or impersonation tokenAn optional list of restricting SIDsCurrent impersonation levelsOther statistics

Security Descriptors安全描述符

SID(Security Identifiers)即安全描述符。
安全描述符標識對象的所有者，并包含以下訪問控制列表：
1、Discretionary Access Control List (DACL) 自由訪問控制列表
2、System Access Control List (SACL) 系統訪問控制列表
每一種控制列表中都存在若干條ACE(Access Control Entries)https://wenku.baidu.com/view/dba5b16e1eb91a37f1115cec.html這個鏈接下的一個圖可以很清晰的說明什么是安全描述符：可以看到安全描述符由Header、SID和DACL、SACL組成DACL高級安全設置中的權限就是DACL的列表SACL

高級安全設置中的審核就是SACL的列表

其中紅色圈出來的每一條都是一條ACEACEACE是針對特定用戶或特定組的單個權限授予(或拒絕權利)的配置結構。ACE有許多不同類型，但是在Active Directory的權限中，只有四種不同的含義，兩種分別用于授予和拒絕權限。1、Access Allowed ACE：這種類型的ACE類型始終為0，設計目的是為了將權限輕松的分配給整個對象。ACE Flags確定這是繼承權限還是顯式給定的權限。所有此對象的子對象都會繼承為ACE Type為0。2、Access Allowed Object ACE:此類ACE的類型始終為5，用于指定對象的某些屬性的權限3、Access Denied ACE此類ACE的值始終為1，用于簡單的撤銷整個對象的權限。ACE標志確定這是繼承還是顯示分配的撤銷權限，并且所有的子對象都會繼承這個權限。4、Access Denied Object ACE此類ACE的類型始終為6，此對象可以撤銷ACE特殊權限或有限的權限，例如針對某些屬性撤銷，這里提供的有和類型為5的ACE相同的例子(Object Type GUID)，Flags字段指示是否存在對象類型字段或者繼承類型字段，或者兩者都有。Access Mask在ACE中有Access Mask這個字段，它代表著此條ACE所對應的權限，比如完全控制(GenericAll)、修改密碼(ResetPassword)、寫入屬性(WriteMembers)等等。TrusteesTrustees的意思為受委托人，受托者是一個ACE所應用到的用戶賬戶，組賬戶或者是登錄會話。也就是說，誰是某一個ACE的受托者，那么這條ACE中的Access Mask所對應的權限(可能是拒絕可能是通過)就會賦予受托者。比如下面這一條的受委托人實際上就是zhangs賬號。

安全描述符枚舉

上面說了什么是安全描述符，那么安全描述符枚舉就是在域中如何去枚舉某個用戶或者是某個域內對象的安全描述符的過程。
通過.NET中的System.DirectoryServices.DirectorySearcher和System.DirectoryServices.SecurityMasks類可以對域內的安全描述符進行枚舉，比如下面的這段powershell代碼就可以枚舉域內用戶xiaom的ACE$Searcher?=?New-ObjectSystem.DirectoryServices.DirectorySearcher('(samaccountname=xxm)')$Searcher.SecurityMasks?=[System.DirectoryServices.SecurityMasks]::Dacl?-bor?[System.DirectoryServices.SecurityMasks]::Owner$Result = $Searcher.FindOne()$Result.Properties.ntsecuritydescriptor[0].gettype()$ADSecurityDescriptor?=?New-ObjectSystem.DirectoryServices.ActiveDirectorySecurity$ADSecurityDescriptor.SetSecurityDescriptorBinaryForm($Reslt.Properties.ntsecuritydescriptor[0])$ADSecurityDescriptor$ADSecurityDescriptor.Access這里枚舉的是安全描述符中的DACL中的每一個ACE(一共13條，和DACL中對應)：Powerviewer遍歷:
在Powerview的結果中不是根據每一條ACE來顯示的，而是把每一個ACE中的每一個權限單獨顯示一條，所以結果的個數不等于DACL列表中的數量。. .\powerview.ps1 Get-DomainObjectAcl -Identity xxm -ResolveGUIDs

任何經過域驗證的用戶都可以枚舉默認域中大多數對象的安全描述符。

線程與安全對象之間的交互：

在Access check中，系統將線程訪問令牌中的安全信息與安全對象安全描述符中的安全信息進行比較。每一個進程都有一個primary token，用于描述與該進程關聯的用戶賬戶的安全上下文。默認情況下，當進程的線程與安全對象進行交互時，系統將使用primary token。
系統檢查對象的DACL，查找應用于用戶的ACE，并從線程的訪問令牌中分組SID，系統會檢查每個SID，知道授予或拒絕訪問，或者知道沒有其他ACE要檢查為止。

The Security Reference Monitor(SRM 安全參考監視器)

The Security Reference Monitor直譯為SRM 安全參考監視器，在ACL中排列順序繼承等等都可能影響最后的結果，而SRM就是起到對ACE順序的評估作用。可參考：
https://networkencyclopedia.com/security-reference-monitor/
https://ldapwiki.com/wiki/Security%20Reference%20Monitor當登錄的用戶訪問對象時，安全性參考監視器將檢查對象的安全性描述符，以查看MSFT訪問令牌中列出的SID是否與ACE條目匹配。如果存在匹配項，則匹配ACE中列出的安全權限將應用于該用戶。當“域管理員”組的成員請求更改用戶密碼的能力時，SRM必須決定是否允許該請求。SRM會評估目標用戶的DACL，確定“域管理員”組(進而是該組的成員)對用戶具有完全控制權。評估對象的DACL時，SRM將按規范順序讀取ACE，ACE的排序如下：
( 1 ) 明確定義的DENY ACE。
( 2 )?明確定義的ALLOW ACE。
( 3 )?繼承的DENY ACE。
( 4 )?繼承的ALLOW ACE。SRM這個東西知道它的作用就可以了，不需要太深究。可參考：https://docs.microsoft.com/zh-cn/windows/win32/secauthz/dacls-and-aces特殊權限的實例ACL是一個訪問控制列表，是整個訪問控制模型(ACM)的實現的總稱。所以這里說的特殊權限是指一些非常有利用價值的權限：GenericAllGenericWriteWriteOwner(修改所有者)WriteDACL：寫DACL(有一個解釋是WriteDACL是在攻擊鏈中啟用其他權利的權利)AllExtendedRightsAddMembers：將任意用戶、組或計算機添加到目標組。ForceChangePassword：強制更改密碼，在不知道當前密碼的情況下更改目標用戶的密碼。

GenericAll

GenericAll在安全描述符中的Access Mask中進行標識，是包含了所有其他權限的權限。授予對目標對象的完全控制權，包括WriteDacl 和 WriteOwner 特權。可以使用PowerView中的Add-DomainObjectAcl進行利用。下面舉例看一下如何給一個User對象添加一條GenericAll的ACE

GenericAll on User

使用zhangs賬戶和xxm賬戶做演示：
兩個賬戶的SID分別為：zhangs:S-1-5-21-3305457972-2547556381-742707129-1604xxm:S-1-5-21-3305457972-2547556381-742707129-1105這里使用zhangs賬戶，所在的主機是win2012，然后使用PowerView的函數Get-ObjectACL查看對zhangs具有GenericAll權限的項Get-ObjectAcl -SamAccountName zhangs -ResolveGUIDs | ? {$_.ActiveDirectoryRights -eq "GenericAll"}在看一下xxm的Get-ObjectAcl?-SamAccountName?xxm?-ResolveGUIDs?|??{$_.ActiveDirectoryRights?-eq?"GenericAll"}然后在域控dc2012上設置xxm賬戶的DACL,添加對xxm的完全控制(GenericAll)權限，也可以使用powerviewer命令：Add-DomainObjectAcl?-TargetIdentity?xxm??-PrincipalIdentityzhangs?-Rights?All?-Verbose再在win2012上使用之前的命令查看ActiveDirectoryRights屬性等于GenericAll的acl發現多了一條這條ACL的含義是：
zhangs賬戶對xxm賬戶具有完全管理(GenericAll)權限
在設置ACL之前和設置之后使用zhangs賬戶權限設置xxm賬戶的密碼可以看到區別(設置完成之后會立即生效)net user xxm admin123! /domain此時再使用已經修改的密碼結合runas命令就可以直接創建一個xxm權限的cmd窗口：runas /noprofile /user:test\xxm cmd運行之后會彈出一個xxm權限的cmd窗口，即可使用xxm權限執行任意命令GenericAll?on?Group環境和上文相同，GenericAll on Group說的是對一個組有GenericAll權限，查看用戶組domain admins：Get-NetGroup "domain admins"此時zhangs和xxm均為域內普通權限用戶，然后在域管理員組domain admins的DACL中加入zhangs的GenericAll權限：Add-DomainObjectAcl??-TargetIdentity?"domain?admins"?PrincipalIdentity?xiaom?-Rights??all?-Verbose然后再win2012上使用命令查看domain admins的權限Get-ObjectAcl??-ResolveGUIDs|???{$_.objectdn?-eq?"CN=Domain?Admins,CN=Users,DC=test,DC=local"}可以看到在結果中有一條SID為zhangs的SID，權限為GenericAll然后嘗試將xxm加入domain admins組：net group "domain admins" xxm /add /domain可以看到已經成功將xxm加入管理員組,然后再將xxm移除出domain admins了，并將DACL中的內容刪除之后再嘗試加入，發現已經被拒絕。在zhangs具有這個權限的時候使用Powerviewer能夠達到相同的添加用戶到某個組的目的，不過使用net命令更方便一點Add-DomainGroupMember?-Identity?'Domain?Admins'?-Members'test'

GenericAll/GenericWrite/Write on Computer

這個權限能夠對Computer的屬性進行改寫，利用方式是結合Kerberos RDBC來進行攻擊這個具有可寫權限的計算機。比如此時對Win2012這臺主機具有寫權限，那么可以使用Powermad工具創建一個假的域內主機testrbcd，然后將Win2012主機的msDS-AllowedToActOnBehalfOfOtherIdentity字段設置為testrbcd$Set-ADComputer?win2012?PrincipalsAllowedToDelegateToAccount?testrbcd$然后使用Rubeus工具獲取能夠訪問win2012特定SPN的票據。詳情可參考：http://blog.leanote.com/post/ambition/95dac75ccad8。

GenericWrite

GenericWrite也是在Access Mask中進行標識，此權限能夠更新目標對象的屬性值，可以使用PowerView中的Set-DomainObject方法設置目標屬性的值。WriteDaclWriteDacl允許委托人修改受影響對象的DACL。這意味著攻擊者可以添加或刪除特定的訪問控制項，從而使他們可以授予自己對對象的完全訪問權限。因此，WriteDacl是在鏈中啟用其他權利的權利。Self (Self-Membership) on Group這條權限指的是某個賬戶能夠把自身添加到某個組的權限(需要在某個組的高級權限中添加ACE，也就是說針對的是組對象)添加完之后可以使用zhangs的權限將zhangs自身添加到Domain Admins組：net group "domain admins" zhangs /add /domainSelf?(Self-Membership)?WritePropertyWriteProperty直譯為寫所有權。這個權限利用針對的對象為組對象，能夠賦予賬戶對于某個組的可寫權限，在Domain Admins組里設置zhangs賬戶的WriteProperty權限：然后使用zhangs賬戶權限可以將xxm賬戶加入Domain Admins組：net group "domain admins" xxm /add /domainSelf?(Self-Membership) on GroupWriteProperty on Group說的是對一個組具有WriteProperty權限的情況下，“寫入全部屬性”除了WriteProperty還包括了其他的權限：
CreateChild, DeleteChild, Self, WriteProperty, ExtendedRight, GenericRead, WriteDacl, WriteOwner在Domain Admins組的列表中添加寫入全部屬性，會生成一條新的ACE訪問被標記為特殊，沒有實際顯示具體權限，測試添加此條ACE前后：WriteOwnerWriteOwner權限允許委托人修改對象的安全描述符的所有者部分。也就是說，假如用戶A對administrator用戶有這個權限，那么A能利用這個權限給自己附加其他的權限。與ACL相關的攻擊方式Exchange相關

Organization Management組

Organization Management組的的組描述為：
此管理角色組成員具有對 Exchange 對象及其在 Exchange 組織中的屬性進行管理的權限。另外，成員還可以代表組織中的角色組和管理角色。
在安裝Exchange時會創建這個組，賦予其訪問Exchange相關活動的權限。除了能訪問這些Exchange設置選項之外，該組的成員還可以修改其他Exchange安全組的組成員關系。比如Exchange Trusted Subsystem安全組。這個組是Exchange Windows Permissions安全組的成員之一。
Exchange Windows Permissions安全組具備當前域對象的writeDACL權限。也就是說只要成為Organization Management組的成員，我們就可以提升成為域管理員權限。復現流程可以參考：https://3gstudent.github.io/3gstudent.github.io/%E5%9F%9F%E6%B8%97%E9%80%8F-%E4%BD%BF%E7%94%A8Exchange%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%B8%AD%E7%89%B9%E5%AE%9A%E7%9A%84ACL%E5%AE%9E%E7%8E%B0%E5%9F%9F%E6%8F%90%E6%9D%83/

NTLMRelay與DCSync

NTLMRelay是一個已經存在了很久的攻擊方式，在2018年和2019年分別爆出了關于Exchange的SSRF漏洞(CVE-2018-8581)+NTLMRelay攻擊、CVE-2019-1040 NTLM協議漏洞的兩種利用方式，傳播最廣泛的利用方式就是通過這兩個漏洞對域對象的ACL進行改寫，實現DCSync，從而獲取krbtgt賬戶的HASH值。關于CVE-2018-8581和CVE-2019-1040在這里就不再說明，可以參考：
https://paper.seebug.org/833/
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/?from=timeline&isappinstalled=0https://mp.weixin.qq.com/s/NEBi8NflfaEDL2qw1WIqZw下面主要說一下DCSync與ACL的關系。

DCSync需要什么權限

一個域內用戶想要通過DCSync獲取krbtgt的HASH值需要在域對象或者是域內的高權限組中有以下三種權限的其中一個：
復制目錄更改Replicating Directory Changes (DS-Replication-Get-Changes) 復制目錄更改所有Replicating Directory Changes All (DS-Replication-Get-Changes-All)(Exchange用的就是這個) 正在復制篩選集中的目錄更改Replicating Directory Changes In Filtered Set (rare, only required in some environments)
這幾個權限在DACL的設置頁是可以看到的：

如何給一個用戶添加DCSync權限

除了上面的利用方式之外，如果想單純的嘗試給一個賬號添加DCSync權限，或者是在有了高權限賬號的情況下希望存留DCSync的后門，可以使用powerviewer.ps1的Add-DomainObjectAcl函數實現：Add-DomainObjectAcl -TargetIdentity "DC=test,DC=local" -PrincipalIdentity zhangs -Rights DCSync執行之后會在域對象(”DC=test,DC=local”)的DACL中添加一條主體為zhangs的權限為”復制目錄更改”的ACE：

然后使用zhangs進行DCSync，這里可以看到添加前后的變化：.\mimikatz.exe "lsadump::dcsync /user:test\krbtgt" "exit"

注意，這里復制目錄更改權限的ACE是添加在域對象DC=test,DC=local上的。Invoke-ACLPwn

運行時需要.NET 3.5環境，Windows Server 2012安裝遇到報錯，最后的解決方法(需要在網上下載SxS的安裝包https://pan.baidu.com/share/init?surl=kDgdYerM0lVB32Q_IEqLUw提取碼：gwzk)：dism.exe?/online?/enable-feature?/all?/featurename:NetFX3/Source:F:\Sources\SxS\GitHub地址：https://github.com/fox-it/Invoke-ACLPwn
背景信息在發布者博客上：https://blog.fox-it.com/2018/04/26/escalating-privileges-with-acls-in-active-directory/
環境需要：.NET 3.5 + sharphound.exe + mimikatz.exe用法示例：.\Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -NoDCSync.\Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe.\Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe -userAccountToPwn 'Administrator'.\Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe -LogToFile.\Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe -NoSecCleanup.\Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe -Username 'testuser' -Domain 'xenoflux.local' -Password 'Welcome01!'使用第一條標識了-NoDCSync(不會做DCSync的動作，只判斷是否能夠存在能夠DCSync的權限)的命令：提示Got WriteDACL permissions.如果加上mimikatz.exe一起使用,可以看到直接獲取了krbtgt的HASH值，也就是說已經可以直接生成黃金票據了：但是這個工具經過實際測試只適用于小型的域控，在有上百萬條ACL的域內會出現跑了幾天也跑不出結果的情況針對DACL的隱身方式通過隱藏賬戶可以掩蓋主體本身，阻止防御者輕易的發現誰實際上擁有ACE中指定的權限。這種方式主要應對的是對于高危的ACL進行掃描行為。隱藏用戶1、將要隱藏的用戶所有者改為攻擊者或者攻擊者控制的賬戶
2、設置一條拒絕完全控制的ACE點擊應用之后所有用戶都無法在外部訪問查看此賬戶的ACL，包括administrator：Get-DomainObjectAcl -Identity hideuser -domain test.local -Resolve但是如上圖所示，在ADSI編輯器中還是可以看到的，如果想要在ADSI編輯器中也看不到，那么就要將主體設置為用戶本身，或者其他攻擊者控制的賬戶：點擊應用可以看到，即使在ADSI編輯器中也無法查詢到：同時在AD用戶和計算機中用戶類型會變為未知：此時這個賬號無法刪除和訪問屬性，但是仍然能夠正常使用隱藏OU中所有的子對象直接添加一條拒絕Everyone的列出內容權限然后再查看這個OU的時候會發現所有的用戶都不顯示。同樣，通過powerviewer也無法查看ACL：形形色色的ACL后門AdminSDHolderAdminSDHolder會將自身的ACL列表每隔一個小時向受保護的組中同步，所以如果在AdminSDHolder中添加一個ACE作為后門，則受保護的組中將會一直被同步策略。受保護的組有https://docs.microsoft.com/en-us/previous-versions/technet-magazine/ee361593(v=msdn.10)?redirectedfrom=MSDN：在AdminSDHolder的DACL中設置一條主體為zhangs，權限為完全控制的ACEAdd-DomainObjectAcl -TargetIdentity "CN=AdminSDHolder,CN=System,DC=test,DC=local" -PrincipalIdentity zhangs -Rights All不過這樣也有一個壞處就是所有的受保護組的ACL中都會被添加上這一條作為后門的ACE，隱藏其中一個賬戶并不能起到作用，所以還是比較容易被發現的。并且添加時會產生一條ID為5136的事件日志。也可以通過修改注冊表設置推送時間，這里設置為60s：reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency /t REG_DWORD /d 6060秒之后就可以使用xiaom權限添加任意用戶到domain admins組
http://www.selfadsi.org/extended-ad/ad-permissions-adminsdholder.htm
https://3gstudent.github.io/3gstudent.github.io/%E5%9F%9F%E6%B8%97%E9%80%8F-AdminSDHolder/關于LAPS的隱藏后門LAPS的全稱是Local Administrator Password Solution，主要作用是將域內主機的本地管理員密碼存儲在LDAP中，作為計算機賬戶的一個機密屬性，配合GPO實現自動定期修改密碼，設置密碼長度、強度等。LAPS通過首先將Active Directory架構擴展為包括兩個新字段ms-MCS-AdmPwd(密碼本身)和 ms-MCS-AdmPwdExpirationTime(密碼過期時)來完成其方法。具體的配置和如何查詢明文密碼可以參考http://drops.xmd5.com/static/drops/tips-10496.html此時的環境：一個配置了LAPS的testwin7主機(屬于testou)、一個域中的普通的測試賬號zhangs此時通過命令查看testwin7主機的本地administrator密碼：Get-AdmPwdPassword?–ComputerName?testwin7在zhangs登錄的主機上使用LAPS UI嘗試獲取testwin7的本地密碼沒有成功：然后在testou中添加zhangs的讀取密碼的權限：Set-AdmPwdReadPasswordPermission?-Identity?testou?AllowedPrincipals?zhangs此時再在zhangs主機上嘗試獲取testwin7密碼:能夠成功獲取，但是此時的zhangs的權限是能夠通過Find-AdmPwdExtendedRights排查到的：Find-AdmPwdExtendedRights?-Identity?testou?IncludeComputers?|?fl解決方法是在testou中新建一個msImaging-PSPs類型的對象testmspsps，此類容器的權限不能被Find-AdmPwdExtendedRights所遍歷，同時將testwin7移動到testmspsps中，然后在testmspsps的ACL中設置主體為zhangs的完全控制權限：此時在zhangs中就可以獲取testwin7的密碼，并且不會被Find-AdmPwdExtendedRights這個命令遍歷到：這種方式的缺點在于需要移動域內主機所屬的組。

針對域對象的后門

上面所說的后門都是針對User Objects或者Group Objects的，這里要說的是針對Domain Objects。通過在Domain對象的DACL中添加ACE能夠賦予用戶特定的權限。因為實現這個操作需要較高權限，所以可以使用，這里使用powerviewer.ps1的Add-DomainObjectAcl函數實現：Add-DomainObjectAcl -TargetIdentity "DC=test,DC=local" -PrincipalIdentity zhangs -Rights DCSync然后使用zhangs進行DCSync，這里可以看到添加前后的變化：.\mimikatz.exe "lsadump::dcsync /user:test\krbtgt" "exit"

針對組策略對象的ACL

GPO中的ACL同樣能夠進行權限維持等操作，修改SYSVOL的屬性，意味著主體可以修改GPO的設置。以域控組的組策略為例，可以在組策略管理中的委派選項中進行設置：創建之后在對應的GPO文件夾下可以看到對應的權限：

監測防御在域內修改ACL時會產生ID為5136的事件日志，可以通過日志分析平臺進行檢測和發現，可以通過匹配ObjectDN字段判斷是否存在域內關鍵對象的ACL被修改上圖是AdminSDHolder組被修改時的windows事件日志。這里需要兼顧的就是對于ACL對象的選擇，確定哪些是關鍵組，以及是否存在漏掉的關鍵組。如果一個域里沒有配置對域控中ACL日志的檢查，那么幾乎是沒有辦法防御的。小結本文主要說明了域內的ACL相關攻擊手法，有一些已經廣為人知，還有一些可能很少在實際的攻擊中出現，如果有更好的思路和建議歡迎探討。在windows的安全體系中ACL是至關重要的一環，并且在本地ACL方面也有很多的利用方式，比如硬鏈接結合權限問題進行提權的手法，這里不再贅述。

參考鏈接

http://www.selfadsi.org/extended-ad/ad-permissions-adminsdholder.htm
https://3gstudent.github.io/3gstudent.github.io/%E5%9F%9F%E6%B8%97%E9%80%8F-AdminSDHolder/

http://www.harmj0y.net/blog/redteaming/abusing-active-directory-permissions-with-powerview/

https://www.specterops.io/assets/resources/an_ace_up_the_sleeve.pdf

原文來源：安全客

總結

以上是生活随笔為你收集整理的域用户更改密码提示拒绝访问_AD域中的ACL攻防探索的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。