DCShadow
DCShadow
Bu, AD'de bir yeni Etki Alanı Denetleyicisi kaydeder ve belirtilen nesneler üzerinde (SIDHistory, SPN'ler...) özellikleri itmek için kullanırken herhangi bir değişiklik hakkında günlük bırakmadan kullanır. DA ayrıcalıklarına ve kök etki alanı içinde olmanız gerekmektedir. Yanlış veri kullanırsanız, oldukça kötü günlükler ortaya çıkacaktır.
Saldırıyı gerçekleştirmek için 2 mimikatz örneğine ihtiyacınız vardır. Bunlardan biri, SYSTEM ayrıcalıklarıyla RPC sunucularını başlatacak (burada yapmak istediğiniz değişiklikleri belirtmelisiniz) ve diğer örnek değerleri itmek için kullanılacaktır:
elevate::token
'un mimikatz1
oturumunda çalışmayacağını unutmayın, çünkü bu işlem yalnızca iş parçacığının ayrıcalıklarını yükseltir, ancak işlemin ayrıcalığını yükseltmemiz gerekmektedir.
Ayrıca "LDAP" nesnesini seçebilirsiniz: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local
Bu değişiklikleri DA (Domain Admin) veya bu en düşük izinlere sahip bir kullanıcıdan yapabilirsiniz:
Domain nesnesi içinde:
DS-Install-Replica (Alan İçinde Kopya Ekle/Kaldır)
DS-Replication-Manage-Topology (Replikasyon Topolojisini Yönet)
DS-Replication-Synchronize (Replikasyon Senkronizasyonu)
Yapılandırma konteynırı içindeki Sites nesnesi (ve alt nesneleri):
CreateChild ve DeleteChild
DC olarak kaydedilmiş olan bilgisayarın nesnesi:
WriteProperty (Yazma değil)
Hedef nesne:
WriteProperty (Yazma değil)
Bu ayrıcalıkları ayrıcalıksız bir kullanıcıya vermek için Set-DCShadowPermissions komutunu kullanabilirsiniz (bu işlem bazı loglar bırakacaktır). Bu, DA (Domain Admin) ayrıcalıklarına sahip olmaktan çok daha kısıtlayıcıdır.
Örneğin: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose
Bu, student1 kullanıcı adına sahip olan mcorp-student1 makinesinde oturum açıldığında root1user nesnesi üzerinde DCShadow izinlerine sahip olduğu anlamına gelir.
DCShadow kullanarak arka kapılar oluşturma
Shadowception - DCShadow kullanarak DCShadow izinleri verme (değiştirilmiş izin günlükleri olmadan)
Aşağıdaki ACE'leri kullanıcının SID'siyle birlikte eklememiz gerekiyor:
Etki alanı nesnesi üzerinde:
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)
(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
Saldırgan bilgisayar nesnesi üzerinde:
(A;;WP;;;UserSID)
Hedef kullanıcı nesnesi üzerinde:
(A;;WP;;;UserSID)
Yapılandırma konteynerindeki Siteler nesnesi üzerinde:
(A;CI;CCDC;;;UserSID)
Bir nesnenin mevcut ACE'sini almak için: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl
Dikkat edin, bu durumda sadece bir tane değil, birkaç değişiklik yapmanız gerekiyor. Bu nedenle, mimikatz1 oturumu (RPC sunucusu) içinde her değişiklik için /stack
parametresini kullanın. Bu şekilde, tüm takılan değişiklikleri tek bir /push
işlemiyle gerçekleştirmek için yeterli olacaktır.
Last updated