DCSync
Verwenden Sie Trickest, um mühelos Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Heute Zugriff erhalten:
DCSync
Die Berechtigung DCSync impliziert, dass diese Berechtigungen über die Domäne selbst verfügt werden: DS-Replication-Get-Changes, Replicating Directory Changes All und Replicating Directory Changes In Filtered Set.
Wichtige Hinweise zu DCSync:
Der DCSync-Angriff simuliert das Verhalten eines Domänencontrollers und fordert andere Domänencontroller auf, Informationen zu replizieren, indem der Directory Replication Service Remote Protocol (MS-DRSR) verwendet wird. Da MS-DRSR eine gültige und notwendige Funktion von Active Directory ist, kann sie nicht ausgeschaltet oder deaktiviert werden.
Standardmäßig verfügen nur die Gruppen Domänen-Admins, Unternehmens-Admins, Administratoren und Domänencontroller über die erforderlichen Berechtigungen.
Wenn Kontokennwörter mit umkehrbarer Verschlüsselung gespeichert sind, besteht die Möglichkeit, in Mimikatz das Kennwort im Klartext zurückzugeben.
Enumeration
Überprüfen Sie, wer über diese Berechtigungen verfügt, indem Sie powerview
verwenden:
Lokaler Angriff
Remote ausnutzen
-just-dc
generiert 3 Dateien:
eine mit den NTLM-Hashes
eine mit den Kerberos-Schlüsseln
eine mit Klartextpasswörtern aus dem NTDS für Konten, bei denen die umkehrbare Verschlüsselung aktiviert ist. Benutzer mit umkehrbarer Verschlüsselung können mit folgendem Befehl abgerufen werden:
Persistenz
Wenn Sie ein Domänenadministrator sind, können Sie einem beliebigen Benutzer mit Hilfe von powerview
diese Berechtigungen gewähren:
Dann kannst du überprüfen, ob dem Benutzer die 3 Berechtigungen korrekt zugewiesen wurden, indem du in der Ausgabe danach suchst (du solltest die Namen der Berechtigungen im Feld "ObjectType" sehen können):
Abhilfe
Sicherheitsereignis-ID 4662 (Überwachungsrichtlinie für Objekt muss aktiviert sein) - Es wurde eine Operation an einem Objekt durchgeführt
Sicherheitsereignis-ID 5136 (Überwachungsrichtlinie für Objekt muss aktiviert sein) - Ein Verzeichnisdienstobjekt wurde geändert
Sicherheitsereignis-ID 4670 (Überwachungsrichtlinie für Objekt muss aktiviert sein) - Berechtigungen für ein Objekt wurden geändert
AD ACL Scanner - Erstellen und vergleichen von Berichten über ACLs. https://github.com/canix1/ADACLScanner
Referenzen
Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den weltweit fortschrittlichsten Community-Tools unterstützt werden. Heute Zugriff erhalten:
Last updated