DCSync
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
DCSync
El permiso DCSync implica tener estos permisos sobre el dominio mismo: DS-Replication-Get-Changes, Replicating Directory Changes All y Replicating Directory Changes In Filtered Set.
Notas importantes sobre DCSync:
El ataque DCSync simula el comportamiento de un Controlador de Dominio y solicita a otros Controladores de Dominio que repliquen información utilizando el Protocolo Remoto de Servicio de Replicación de Directorios (MS-DRSR). Debido a que MS-DRSR es una función válida y necesaria de Active Directory, no se puede desactivar ni deshabilitar.
Por defecto, solo los grupos de Administradores de Dominio, Administradores de Empresa, Administradores y Controladores de Dominio tienen los privilegios requeridos.
Si alguna contraseña de cuenta se almacena con cifrado reversible, hay una opción disponible en Mimikatz para devolver la contraseña en texto claro.
Enumeración
Verifica quién tiene estos permisos usando powerview
:
Explotar Localmente
Explotar Remotamente
-just-dc
genera 3 archivos:
uno con los hashes NTLM
uno con las claves Kerberos
uno con contraseñas en texto claro del NTDS para cualquier cuenta configurada con encriptación reversible habilitada. Puedes obtener usuarios con encriptación reversible con
Persistencia
Si eres un administrador de dominio, puedes otorgar estos permisos a cualquier usuario con la ayuda de powerview
:
Luego, puedes verificar si al usuario se le asignaron correctamente los 3 privilegios buscándolos en la salida de (deberías poder ver los nombres de los privilegios dentro del campo "ObjectType"):
Mitigación
Security Event ID 4662 (La política de auditoría para el objeto debe estar habilitada) – Se realizó una operación en un objeto
Security Event ID 5136 (La política de auditoría para el objeto debe estar habilitada) – Se modificó un objeto del servicio de directorio
Security Event ID 4670 (La política de auditoría para el objeto debe estar habilitada) – Se cambiaron los permisos en un objeto
AD ACL Scanner - Crear y comparar informes de ACLs. https://github.com/canix1/ADACLScanner
Referencias
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Last updated