DCShadow
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Rejestruje nowy kontroler domeny w AD i używa go do wypychania atrybutów (SIDHistory, SPNs...) na określonych obiektach bez pozostawiania jakichkolwiek logów dotyczących zmian. Musisz mieć uprawnienia DA i być w domenie głównej. Zauważ, że jeśli użyjesz błędnych danych, pojawią się dość brzydkie logi.
Aby przeprowadzić atak, potrzebujesz 2 instancji mimikatz. Jedna z nich uruchomi serwery RPC z uprawnieniami SYSTEM (musisz tutaj wskazać zmiany, które chcesz wprowadzić), a druga instancja będzie używana do wypychania wartości:
Zauważ, że elevate::token
nie zadziała w sesji mimikatz1
, ponieważ podnosi uprawnienia wątku, ale musimy podnieść uprawnienia procesu.
Możesz również wybrać obiekt "LDAP": /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local
Możesz wprowadzić zmiany z konta DA lub z konta użytkownika z minimalnymi uprawnieniami:
W obiekcie domeny:
DS-Install-Replica (Dodaj/Usuń replikę w domenie)
DS-Replication-Manage-Topology (Zarządzaj topologią replikacji)
DS-Replication-Synchronize (Synchronizacja replikacji)
Obiekt Sites (i jego dzieci) w kontenerze konfiguracji:
CreateChild and DeleteChild
Obiekt komputera, który jest zarejestrowany jako DC:
WriteProperty (Nie Write)
Obiekt docelowy:
WriteProperty (Nie Write)
Możesz użyć Set-DCShadowPermissions, aby nadać te uprawnienia użytkownikowi bez uprawnień (zauważ, że pozostawi to pewne logi). To jest znacznie bardziej restrykcyjne niż posiadanie uprawnień DA.
Na przykład: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose
Oznacza to, że nazwa użytkownika student1 po zalogowaniu na maszynie mcorp-student1 ma uprawnienia DCShadow do obiektu root1user.
Musimy dodać następujące ACE z SID naszego użytkownika na końcu:
Na obiekcie domeny:
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)
(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
Na obiekcie komputera atakującego: (A;;WP;;;UserSID)
Na obiekcie użytkownika docelowego: (A;;WP;;;UserSID)
Na obiekcie Sites w kontenerze Configuration: (A;CI;CCDC;;;UserSID)
Aby uzyskać aktualny ACE obiektu: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl
Zauważ, że w tym przypadku musisz dokonać kilku zmian, a nie tylko jednej. Tak więc, w sesji mimikatz1 (serwer RPC) użyj parametru /stack
z każdą zmianą, którą chcesz wprowadzić. W ten sposób będziesz musiał tylko /push
raz, aby wykonać wszystkie zablokowane zmiany na serwerze rogue.
Więcej informacji o DCShadow na ired.team.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)