DCSync
Last updated
Last updated
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Η άδεια DCSync υποδηλώνει ότι έχετε αυτές τις άδειες πάνω στο ίδιο το domain: DS-Replication-Get-Changes, Replicating Directory Changes All και Replicating Directory Changes In Filtered Set.
Σημαντικές σημειώσεις σχετικά με το DCSync:
Η επίθεση DCSync προσομοιώνει τη συμπεριφορά ενός Domain Controller και ζητά από άλλους Domain Controllers να αναπαράγουν πληροφορίες χρησιμοποιώντας το Directory Replication Service Remote Protocol (MS-DRSR). Δεδομένου ότι το MS-DRSR είναι μια έγκυρη και απαραίτητη λειτουργία του Active Directory, δεν μπορεί να απενεργοποιηθεί ή να απενεργοποιηθεί.
Από προεπιλογή, μόνο οι ομάδες Domain Admins, Enterprise Admins, Administrators και Domain Controllers έχουν τα απαιτούμενα προνόμια.
Εάν οποιοιδήποτε κωδικοί πρόσβασης λογαριασμών αποθηκεύονται με αναστρέψιμη κρυπτογράφηση, υπάρχει μια επιλογή στο Mimikatz για να επιστρέψει τον κωδικό πρόσβασης σε καθαρό κείμενο.
Ελέγξτε ποιος έχει αυτές τις άδειες χρησιμοποιώντας powerview
:
-just-dc
δημιουργεί 3 αρχεία:
ένα με τους NTLM hashes
ένα με τα Kerberos keys
ένα με καθαρό κείμενο κωδικούς από το NTDS για οποιους λογαριασμούς έχουν ρυθμιστεί με reversible encryption ενεργοποιημένο. Μπορείτε να αποκτήσετε χρήστες με reversible encryption με
Αν είστε domain admin, μπορείτε να δώσετε αυτές τις άδειες σε οποιονδήποτε χρήστη με τη βοήθεια του powerview
:
Τότε, μπορείτε να ελέγξετε αν ο χρήστης έχει ανατεθεί σωστά τα 3 δικαιώματα αναζητώντας τα στην έξοδο του (θα πρέπει να μπορείτε να δείτε τα ονόματα των δικαιωμάτων μέσα στο πεδίο "ObjectType"):
Security Event ID 4662 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Μια ενέργεια πραγματοποιήθηκε σε ένα αντικείμενο
Security Event ID 5136 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Ένα αντικείμενο υπηρεσίας καταλόγου τροποποιήθηκε
Security Event ID 4670 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Οι άδειες σε ένα αντικείμενο άλλαξαν
AD ACL Scanner - Δημιουργήστε και συγκρίνετε αναφορές ACL. https://github.com/canix1/ADACLScanner
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)