DCSync
Utilice Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo. Obtenga acceso hoy:
DCSync
El permiso DCSync implica tener estos permisos sobre el dominio mismo: DS-Replication-Get-Changes, Replicating Directory Changes All y Replicating Directory Changes In Filtered Set.
Notas importantes sobre DCSync:
El ataque DCSync simula el comportamiento de un Controlador de Dominio y solicita a otros Controladores de Dominio replicar información utilizando el Protocolo Remoto de Servicio de Replicación de Directorios (MS-DRSR). Debido a que MS-DRSR es una función válida y necesaria de Active Directory, no se puede apagar ni deshabilitar.
Por defecto, solo los grupos Domain Admins, Enterprise Admins, Administrators y Domain Controllers tienen los privilegios requeridos.
Si alguna contraseña de cuenta se almacena con cifrado reversible, hay una opción disponible en Mimikatz para devolver la contraseña en texto claro
Enumeración
Verifique quién tiene estos permisos usando powerview
:
Explotar Localmente
Explotar de forma remota
-just-dc
genera 3 archivos:
uno con los hashes NTLM
uno con las claves Kerberos
uno con contraseñas en texto claro de la NTDS para cualquier cuenta configurada con cifrado reversible habilitado. Puedes obtener usuarios con cifrado reversible con
Persistencia
Si eres un administrador de dominio, puedes otorgar estos permisos a cualquier usuario con la ayuda de powerview
:
Entonces, puedes verificar si al usuario se le asignaron correctamente los 3 privilegios buscándolos en la salida de (deberías poder ver los nombres de los privilegios dentro del campo "ObjectType"):
Mitigación
Evento de seguridad ID 4662 (La directiva de auditoría para el objeto debe estar habilitada) – Se realizó una operación en un objeto
Evento de seguridad ID 5136 (La directiva de auditoría para el objeto debe estar habilitada) – Se modificó un objeto de servicio de directorio
Evento de seguridad ID 4670 (La directiva de auditoría para el objeto debe estar habilitada) – Se cambiaron los permisos en un objeto
Escáner de ACL de AD - Crea y compara informes de creación de ACL. https://github.com/canix1/ADACLScanner
Referencias
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente impulsados por las herramientas comunitarias más avanzadas del mundo. ¡Accede hoy mismo:
Última actualización