DCSync
Use Trickest para construir facilmente e automatizar fluxos de trabalho com as ferramentas comunitárias mais avançadas do mundo. Acesse hoje:
DCSync
A permissão DCSync implica ter essas permissões sobre o próprio domínio: DS-Replication-Get-Changes, Replicating Directory Changes All e Replicating Directory Changes In Filtered Set.
Notas importantes sobre o DCSync:
O ataque DCSync simula o comportamento de um Controlador de Domínio e solicita a outros Controladores de Domínio que repliquem informações usando o Protocolo Remoto de Serviço de Replicação de Diretório (MS-DRSR). Como o MS-DRSR é uma função válida e necessária do Active Directory, não pode ser desativado ou desabilitado.
Por padrão, apenas os grupos Domain Admins, Enterprise Admins, Administrators e Domain Controllers têm os privilégios necessários.
Se alguma senha de conta for armazenada com criptografia reversível, uma opção está disponível no Mimikatz para retornar a senha em texto claro
Enumeração
Verifique quem possui essas permissões usando powerview
:
Explorar Localmente
Explorar Remotamente
-just-dc
gera 3 arquivos:
um com os hashes NTLM
um com as chaves Kerberos
um com senhas em texto claro do NTDS para contas configuradas com criptografia reversível habilitada. Você pode obter usuários com criptografia reversível com
Persistência
Se você é um administrador de domínio, pode conceder essas permissões a qualquer usuário com a ajuda do powerview
:
Em seguida, você pode verificar se o usuário foi atribuído corretamente os 3 privilégios procurando por eles na saída de (você deve ser capaz de ver os nomes dos privilégios dentro do campo "ObjectType"):
Mitigação
Evento de Segurança ID 4662 (A Política de Auditoria para objeto deve estar ativada) - Uma operação foi realizada em um objeto
Evento de Segurança ID 5136 (A Política de Auditoria para objeto deve estar ativada) - Um objeto de serviço de diretório foi modificado
Evento de Segurança ID 4670 (A Política de Auditoria para objeto deve estar ativada) - As permissões em um objeto foram alteradas
AD ACL Scanner - Criar e comparar relatórios de criação de ACLs. https://github.com/canix1/ADACLScanner
Referências
Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo. Acesse hoje:
Last updated