DCSync
Χρησιμοποιήστε Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
DCSync
Η άδεια DCSync σημαίνει ότι έχετε αυτές τις άδειες πάνω στον ίδιο τον τομέα: DS-Replication-Get-Changes, Replicating Directory Changes All και Replicating Directory Changes In Filtered Set.
Σημαντικές σημειώσεις σχετικά με το DCSync:
Η επίθεση DCSync προσομοιώνει τη συμπεριφορά ενός ελεγκτή τομέα και ζητά από άλλους ελεγκτές τομέα να αντιγράψουν πληροφορίες χρησιμοποιώντας το Απομακρυσμένο Πρωτόκολλο Υπηρεσίας Αναπαραγωγής Καταλόγου (MS-DRSR). Καθώς το MS-DRSR είναι μια έγκυρη και απαραίτητη λειτουργία του Active Directory, δεν μπορεί να απενεργοποιηθεί ή απενεργοποιηθεί.
Από προεπιλογή μόνο οι ομάδες Domain Admins, Enterprise Admins, Administrators και Domain Controllers έχουν τα απαιτούμενα προνόμια.
Εάν κάποιος κωδικοί πρόσβασης λογαριασμών αποθηκεύονται με αντιστρεπτή κρυπτογράφηση, υπάρχει διαθέσιμη μια επιλογή στο Mimikatz για επιστροφή του κωδικού πρόσβασης σε καθαρό κείμενο
Απαρίθμηση
Ελέγξτε ποιος έχει αυτές τις άδειες χρησιμοποιώντας το powerview
:
Εκμετάλλευση Τοπικά
Εκμετάλλευση απομακρυσμένα
-just-dc
δημιουργεί 3 αρχεία:
ένα με τις κατακερματισμένες NTLM
ένα με τα κλειδιά Kerberos
ένα με κείμενο καθαρού κειμένου από το NTDS για οποιουσδήποτε λογαριασμούς έχουν ενεργοποιημένη την αντιστρεπτή κρυπτογράφηση. Μπορείτε να πάρετε χρήστες με αντιστρεπτή κρυπτογράφηση με
Διατήρηση
Αν είστε διαχειριστής τομέα, μπορείτε να χορηγήσετε αυτές τις άδειες σε οποιονδήποτε χρήστη με τη βοήθεια του powerview
:
Στη συνέχεια, μπορείτε να ελέγξετε αν ο χρήστης έχει ανατεθεί σωστά τα 3 προνόμια ψάχνοντας για αυτά στην έξοδο του (θα πρέπει να μπορείτε να δείτε τα ονόματα των προνομίων μέσα στο πεδίο "ObjectType"):
Αντιμετώπιση
Ασφάλεια Συμβάντος ID 4662 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Έγινε μια λειτουργία σε ένα αντικείμενο
Ασφάλεια Συμβάντος ID 5136 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Ένα αντικείμενο υπηρεσίας καταλόγου τροποποιήθηκε
Ασφάλεια Συμβάντος ID 4670 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Οι άδειες σε ένα αντικείμενο άλλαξαν
AD ACL Scanner - Δημιουργήστε και συγκρίνετε αναφορές δημιουργίας ACLs. https://github.com/canix1/ADACLScanner
Αναφορές
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Last updated