DCSync
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。 今すぐアクセスを取得:
DCSync
DCSync権限は、ドメイン自体に対してこれらの権限を持つことを意味します: DS-Replication-Get-Changes、Replicating Directory Changes All、Replicating Directory Changes In Filtered Set。
DCSyncに関する重要なメモ:
DCSync攻撃は、ドメインコントローラーの振る舞いをシミュレートし、他のドメインコントローラーに情報を複製するよう要求します。これはディレクトリレプリケーションサービスリモートプロトコル(MS-DRSR)を使用します。MS-DRSRはActive Directoryの有効で必要な機能であるため、オフにしたり無効にしたりすることはできません。
デフォルトでは、Domain Admins、Enterprise Admins、Administrators、Domain Controllersグループのみが必要な特権を持っています。
可逆暗号化でアカウントのパスワードが保存されている場合、Mimikatzにはパスワードを平文で返すオプションがあります。
列挙
powerview
を使用してこれらの権限を持っているユーザーをチェックします:
ローカルでの悪用
リモートでの悪用
-just-dc
は3つのファイルを生成します:
NTLMハッシュを含むファイル1つ
Kerberosキーを含むファイル1つ
NTDSから平文パスワードを含むファイル1つ。reversible encryptionが有効に設定されたアカウントのNTDSから平文パスワードを取得できます。reversible encryptionが有効になっているユーザーは以下のコマンドで取得できます:
持続性
ドメイン管理者であれば、powerview
のヘルプを使用して、任意のユーザーにこの権限を付与できます:
その後、ユーザーが正しく割り当てられているかどうかを確認することができます。これらの特権を探すために、次の出力でそれらの名前を見ることができるはずです(特権の名前は「ObjectType」フィールド内に表示されます):
緩和策
セキュリティイベントID 4662(オブジェクトの監査ポリシーが有効である必要があります)- オブジェクトに操作が実行されました
セキュリティイベントID 5136(オブジェクトの監査ポリシーが有効である必要があります)- ディレクトリサービスオブジェクトが変更されました
セキュリティイベントID 4670(オブジェクトの監査ポリシーが有効である必要があります)- オブジェクトのアクセス許可が変更されました
AD ACLスキャナー - ACLの作成と比較作成レポート。https://github.com/canix1/ADACLScanner
参考文献
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。 今すぐアクセスしてください:
Last updated