DCShadow
DCShadow
これは新しい ドメインコントローラ を AD に登録し、指定されたオブジェクトに対して SIDHistory、SPNsなどの属性を ログを残さずに プッシュ するために使用します。 変更に関するログ は 残りません。 DA 権限 が必要で、 ルートドメイン 内にいる必要があります。 間違ったデータを使用すると、かなり醜いログが表示されます。
攻撃を実行するには、2つの mimikatz インスタンスが必要です。そのうちの1つは SYSTEM 権限 で RPC サーバーを起動し(ここに行いたい変更を指定する必要があります)、もう1つのインスタンスは値をプッシュするために使用されます:
elevate::token
はmimikatz1
セッションでは機能しないことに注意してください。なぜなら、それはスレッドの特権を昇格させるものであり、私たちはプロセスの特権を昇格する必要があるからです。
また、「LDAP」オブジェクトを選択することもできます:/object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local
DAからまたはこれらの最小権限を持つユーザーから変更をプッシュできます:
ドメインオブジェクト:
DS-Install-Replica(ドメイン内のレプリカの追加/削除)
DS-Replication-Manage-Topology(レプリケーショントポロジの管理)
DS-Replication-Synchronize(レプリケーション同期)
構成コンテナ内のサイトオブジェクト(およびその子):
CreateChild and DeleteChild
DCとして登録されているコンピューターのオブジェクト:
WriteProperty(Writeではなく)
ターゲットオブジェクト:
WriteProperty(Writeではなく)
Set-DCShadowPermissionsを使用して、特権のないユーザーにこれらの特権を付与できます(これにより一部のログが残ります)。これはDA特権を持つよりもはるかに制限されたものです。
例:Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose
これは、ユーザー名_student1がマシンmcorp-student1にログオンしているときに、オブジェクトroot1user_に対するDCShadow権限を持つことを意味します。
DCShadowを使用してバックドアを作成する
シャドウセプション - DCShadowを使用してDCShadow権限を付与する(変更された権限ログなし)
次のACEに、ユーザーのSIDを末尾に追加する必要があります:
ドメインオブジェクトに対して:
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)
(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
攻撃者のコンピュータオブジェクトに対して:
(A;;WP;;;UserSID)
ターゲットユーザーオブジェクトに対して:
(A;;WP;;;UserSID)
構成コンテナ内のサイトオブジェクトに対して:
(A;CI;CCDC;;;UserSID)
オブジェクトの現在のACEを取得するには:(New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl
この場合、1つだけでなく複数の変更を行う必要があることに注意してください。したがって、mimikatz1セッション(RPCサーバー)で、各変更に**/stack
パラメータを使用します。この方法で、ルージュサーバーですべてのスタックされた変更を実行するには、1回だけ/push
**する必要があります。
Last updated