12 KiB
DCSync
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、最新バージョンのPEASSを入手したいですか、またはHackTricksをPDFでダウンロードしたいですか?サブスクリプションプランをチェックしてください!
- The PEASS Familyを見つけてください、私たちの独占的なNFTのコレクション
- 公式のPEASS&HackTricks swagを手に入れましょう
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm.
- ハッキングのトリックを共有するには、hacktricks repo および hacktricks-cloud repo にPRを提出してください。
DCSync
DCSync権限は、ドメイン自体に対して次の権限を持つことを意味します:DS-Replication-Get-Changes、Replicating Directory Changes All、およびReplicating Directory Changes In Filtered Set。
DCSyncに関する重要な注意事項:
- DCSync攻撃は、ドメインコントローラの動作をシミュレートし、他のドメインコントローラに情報のレプリケーションを要求します。これは、Active Directoryの有効で必要な機能であるため、オフまたは無効にすることはできません。
- デフォルトでは、Domain Admins、Enterprise Admins、Administrators、およびDomain Controllersグループのみが必要な特権を持っています。
- もし、任意のアカウントのパスワードが可逆暗号化で保存されている場合、Mimikatzにはパスワードを平文で返すオプションがあります。
列挙
powerviewを使用してこれらの権限を持つユーザーをチェックします:
Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{($_.ObjectType -match 'replication-get') -or ($_.ActiveDirectoryRights -match 'GenericAll') -or ($_.ActiveDirectoryRights -match 'WriteDacl')}
ローカルでのエクスプロイト
DCSyncは、Active Directory(AD)ドメインコントローラ(DC)からユーザーのハッシュを取得するための攻撃手法です。この攻撃手法を使用すると、攻撃者はドメイン内の任意のユーザーアカウントのハッシュを取得し、そのユーザーの特権を悪用することができます。
DCSync攻撃を実行するためには、攻撃者はドメイン内の有効なユーザーアカウントを持つ必要があります。攻撃者は、攻撃対象のドメインコントローラに対して認証を行い、その後、攻撃者が指定したユーザーアカウントのハッシュを取得するための特権を取得します。
以下の手順に従って、DCSync攻撃をローカルで実行することができます。
-
攻撃者は攻撃対象のドメインコントローラに対して認証を行います。これには、攻撃者が有効なユーザーアカウントを持っている必要があります。
-
攻撃者は攻撃対象のドメインコントローラに対して、DCSync攻撃を実行するための特権を取得します。これには、攻撃者がドメイン管理者の特権を持っている必要があります。
-
攻撃者は攻撃対象のユーザーアカウントのハッシュを取得します。これには、攻撃者が攻撃対象のユーザーアカウントのSID(セキュリティ識別子)を知っている必要があります。
-
攻撃者は取得したハッシュを使用して、攻撃対象のユーザーアカウントの特権を悪用することができます。これには、攻撃者がハッシュを解読し、パスワードを取得する必要があります。
DCSync攻撃は、攻撃者がドメイン内のユーザーアカウントの特権を悪用するための強力な手法です。攻撃者は、この攻撃手法を使用して、ドメイン内の重要な情報にアクセスしたり、攻撃対象のユーザーアカウントを制御したりすることができます。
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'
リモートでの攻撃
DCSyncは、Active Directory(AD)ドメインコントローラ(DC)からユーザーのハッシュを取得するための攻撃手法です。この攻撃手法を使用すると、攻撃者はドメイン内のユーザーアカウントのハッシュを取得し、それを使用して認証情報を盗むことができます。
DCSync攻撃を実行するためには、攻撃者はドメイン内の有効なユーザーアカウントを持つ必要があります。攻撃者は、攻撃対象のドメインコントローラに対してリモートで認証を行い、攻撃対象のユーザーアカウントのハッシュを取得します。
以下は、DCSync攻撃を実行するための手順です。
- 攻撃者は攻撃対象のドメインコントローラに対してリモートで認証を行います。
- 攻撃者は攻撃対象のユーザーアカウントのSID(セキュリティ識別子)を取得します。
- 攻撃者はDCSync攻撃を実行するために、攻撃対象のドメインコントローラに対して特権のある操作を要求します。
- 攻撃者は攻撃対象のユーザーアカウントのハッシュを取得します。
- 攻撃者は取得したハッシュを使用して、認証情報を盗みます。
DCSync攻撃は、攻撃者がドメイン内のユーザーアカウントのハッシュを取得するための効果的な手法です。攻撃者はこれを利用して、ドメイン内の他のシステムやサービスにアクセスすることができます。
secretsdump.py -just-dc <user>:<password>@<ipaddress> -outputfile dcsync_hashes
[-just-dc-user <USERNAME>] #To get only of that user
[-pwd-last-set] #To see when each account's password was last changed
[-history] #To dump password history, may be helpful for offline password cracking
-just-dcは3つのファイルを生成します:
- NTLMハッシュを含む1つのファイル
- Kerberosキーを含む1つのファイル
- NTDSのクリアテキストパスワードを含む1つのファイル。reversible encryption ****が有効になっているアカウントのNTDSからクリアテキストパスワードを取得できます。reversible encryptionが有効なユーザーを取得するには、次のコマンドを使用します。
Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol
持続性
ドメイン管理者であれば、powerviewのヘルプを使用して、これらの権限を任意のユーザーに付与することができます。
Add-ObjectAcl -TargetDistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -PrincipalSamAccountName username -Rights DCSync -Verbose
次に、ユーザーが正しく割り当てられているかどうかを確認することができます。これらの特権を出力の中から検索して、それらの特権の名前を「ObjectType」フィールドの中に見ることができるはずです。
Get-ObjectAcl -DistinguishedName "dc=dollarcorp,dc=moneycorp,dc=local" -ResolveGUIDs | ?{$_.IdentityReference -match "student114"}
緩和策
- セキュリティイベントID 4662(オブジェクトの監査ポリシーが有効である必要があります)- オブジェクトに対して操作が実行されました
- セキュリティイベントID 5136(オブジェクトの監査ポリシーが有効である必要があります)- ディレクトリサービスオブジェクトが変更されました
- セキュリティイベントID 4670(オブジェクトの監査ポリシーが有効である必要があります)- オブジェクトのアクセス許可が変更されました
- AD ACLスキャナー - ACLの作成と比較を行い、レポートを作成します。 https://github.com/canix1/ADACLScanner
参考文献
- https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/dump-password-hashes-from-domain-controller-with-dcsync
- https://yojimbosecurity.ninja/dcsync/
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
- 公式のPEASS&HackTricksのグッズを手に入れましょう
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm.
- ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}