BloodyAD项目中GenericAll权限继承机制的技术解析

背景介绍

在Active Directory安全研究中，权限继承是一个关键概念。当管理员在组织单元(OU)或容器上设置访问控制项(ACE)时，通过合理配置继承标志，可以使子对象自动继承这些权限。BloodyAD作为一款AD安全工具，其GenericAll权限的继承功能在实际渗透测试中具有重要价值。

技术原理

GenericAll权限的本质

GenericAll是Active Directory中最全面的权限组合，包含以下所有权限：

• 创建/删除子对象
• 读取/写入所有属性
• 修改权限(DACL)
• 更改所有者
• 所有扩展权限

继承机制实现

BloodyAD通过以下技术实现权限继承：

1. 在ACE中设置CONTAINER_INHERIT和OBJECT_INHERIT标志
2. 默认情况下，AdminCount=0的对象会继承父容器/OU的ACE
3. 权限继承采用"向下传播"模式，影响目标容器内的所有子对象

问题发现与修复

原始问题表现

在早期版本中，当目标对象已经存在不带继承标志的GenericAll权限时，BloodyAD的add genericAll命令会误判为"权限已存在"而不再添加新的带继承标志的ACE。这导致在某些场景下无法正确建立继承关系。

解决方案实现

项目维护者通过以下方式修复了该问题：

1. 修改权限检查逻辑，区分带继承标志和不带继承标志的GenericAll
2. 确保即使存在普通GenericAll，也能正确添加带继承标志的版本
3. 保持向后兼容性，不影响现有权限设置

实际应用场景

渗透测试中的典型用法

1. 对OU添加带继承的GenericAll，控制其下所有对象
2. 通过权限继承实现横向移动
3. 结合AdminCount属性绕过某些安全限制

检测与防御建议

防御方应当：

1. 定期检查关键OU的ACL设置
2. 监控带继承标志的GenericAll权限变更
3. 特别注意AdminCount=0对象的异常权限

技术验证方法

使用BloodyAD的get object命令配合--resolve-sd参数可以验证权限设置效果，查看返回的ntsecuritydescriptor属性中的ACL条目，确认是否包含正确的继承标志。

总结

BloodyAD对GenericAll权限继承机制的完善，使其在AD安全测试中更加可靠。这一改进不仅解决了原有逻辑缺陷，也为红队操作提供了更灵活的权限控制方式。理解这一机制对于AD安全研究和防御都具有重要意义。