Всем привет!
Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты.
Что это такое?
Rid hijacking - атака, при которой путем подмены Rid в SAM можно превратить обычного локального пользователя в локального админа
Условия для выполнения
Для реализации техники нам необходимо:
-
Права системы для доступа к SAM
-
Возможность создавать локального пользователя на машине (в домене может быть групповая политика, запрещающая создании локальных пользователей )