DCSync
Usa Trickest per costruire e automatizzare flussi di lavoro alimentati dagli strumenti della comunità più avanzati al mondo. Ottieni accesso oggi:
DCSync
Il permesso DCSync implica avere questi permessi sul dominio stesso: DS-Replication-Get-Changes, Replicating Directory Changes All e Replicating Directory Changes In Filtered Set.
Note importanti su DCSync:
L'attacco DCSync simula il comportamento di un Domain Controller e chiede ad altri Domain Controller di replicare informazioni utilizzando il Protocollo Remoto di Servizio di Replicazione Directory (MS-DRSR). Poiché MS-DRSR è una funzione valida e necessaria di Active Directory, non può essere disattivato o disabilitato.
Per impostazione predefinita solo i gruppi Domain Admins, Enterprise Admins, Administrators e Domain Controllers hanno i privilegi richiesti.
Se le password di qualsiasi account sono memorizzate con crittografia reversibile, è disponibile un'opzione in Mimikatz per restituire la password in chiaro.
Enumerazione
Controlla chi ha questi permessi usando powerview
:
Sfrutta Localmente
Sfrutta Remotamente
-just-dc
genera 3 file:
uno con gli hash NTLM
uno con le chiavi Kerberos
uno con le password in chiaro dall'NTDS per qualsiasi account impostato con cifratura reversibile abilitata. Puoi ottenere utenti con cifratura reversibile con
Persistenza
Se sei un amministratore di dominio, puoi concedere questi permessi a qualsiasi utente con l'aiuto di powerview
:
Poi, puoi controllare se all'utente sono stati assegnati correttamente i 3 privilegi cercandoli nell'output di (dovresti essere in grado di vedere i nomi dei privilegi all'interno del campo "ObjectType"):
Mitigazione
Security Event ID 4662 (La politica di audit per l'oggetto deve essere abilitata) – È stata eseguita un'operazione su un oggetto
Security Event ID 5136 (La politica di audit per l'oggetto deve essere abilitata) – Un oggetto del servizio directory è stato modificato
Security Event ID 4670 (La politica di audit per l'oggetto deve essere abilitata) – I permessi su un oggetto sono stati modificati
AD ACL Scanner - Crea e confronta report di ACL. https://github.com/canix1/ADACLScanner
Riferimenti
Usa Trickest per costruire e automatizzare flussi di lavoro alimentati dagli strumenti comunitari più avanzati al mondo. Ottieni accesso oggi:
Last updated