DCSync
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
DCSync
El permiso DCSync implica tener estos permisos sobre el dominio mismo: DS-Replication-Get-Changes, Replicating Directory Changes All y Replicating Directory Changes In Filtered Set.
Notas importantes sobre DCSync:
El ataque DCSync simula el comportamiento de un Controlador de Dominio y solicita a otros Controladores de Dominio que repliquen información utilizando el Protocolo Remoto de Servicio de Replicación de Directorios (MS-DRSR). Debido a que MS-DRSR es una función válida y necesaria de Active Directory, no se puede desactivar ni deshabilitar.
Por defecto, solo los grupos de Administradores de Dominio, Administradores Empresariales, Administradores y Controladores de Dominio tienen los privilegios requeridos.
Si alguna contraseña de cuenta se almacena con cifrado reversible, hay una opción disponible en Mimikatz para devolver la contraseña en texto claro.
Enumeración
Verifica quién tiene estos permisos usando powerview
:
Explotar Localmente
Explotar Remotamente
-just-dc
genera 3 archivos:
uno con los hashes NTLM
uno con las claves Kerberos
uno con contraseñas en texto claro del NTDS para cualquier cuenta configurada con cifrado reversible habilitado. Puedes obtener usuarios con cifrado reversible con
Persistencia
Si eres un administrador de dominio, puedes otorgar estos permisos a cualquier usuario con la ayuda de powerview
:
Entonces, puedes verificar si al usuario se le asignaron correctamente los 3 privilegios buscándolos en la salida de (deberías poder ver los nombres de los privilegios dentro del campo "ObjectType"):
Mitigación
ID de Evento de Seguridad 4662 (La política de auditoría para el objeto debe estar habilitada) – Se realizó una operación en un objeto
ID de Evento de Seguridad 5136 (La política de auditoría para el objeto debe estar habilitada) – Se modificó un objeto del servicio de directorio
ID de Evento de Seguridad 4670 (La política de auditoría para el objeto debe estar habilitada) – Se cambiaron los permisos en un objeto
Escáner de ACL de AD - Crear y comparar informes de ACL. https://github.com/canix1/ADACLScanner
Referencias
Usa Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Last updated