DCSync:攻击与检测

最新推荐文章于 2024-08-06 09:03:36 发布
最新推荐文章于 2024-08-06 09:03:36 发布
阅读量2k 收藏 2
点赞数
分类专栏: 内网渗透 Windows 漏洞经验 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/108906720
版权
内网渗透 同时被 3 个专栏收录
34 篇文章 13 订阅
订阅专栏
Windows
32 篇文章 12 订阅
订阅专栏
漏洞经验
17 篇文章 7 订阅
订阅专栏

目录

讲在前面:

DCSync的工作方式:

利用DCsync

复制目录更改(DS-Replication-Get-Changes)

全部复制目录更改(DS-Replication-Get-Changes-All)

复制过滤集中的目录更改(极少出现,仅在某些环境中需要)

使用DCSync提取krbtgt账户的密码数据

监测DCSync的使用

讲在前面:

Mimkatz在2015年8月添加的一个主要特性是“DCSync”,它可以有效地“模拟”一个域控制器,并向目标域控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。

使用适当的权限来利用Mimikatz的DCSync,攻击者可以通过网络从域控制器获取密码hash和以前的密码hash,从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash

运行DCSync需要特殊权限。管理员、域管理员、企业管理员以及域控制器计算机帐户的任何成员都可以运行DCSync来提取密码数据。注意,默认情况下,只读域控制器不允许为用户提取密码数据。攻击者可以使用它来获取任何帐户的NTLM哈希,包括KRBTGT帐户,从而使攻击者可以创建Golden Tickets。该攻击最棘手的部分是它利用了Active Directory的有效和必要功能,因此无法将其关闭或禁用

lsadump::dcsync /domain:pingpig.com /user:krbtgt

上图中的凭据部分显示了当前的NTLM哈希以及密码历史记录。此信息可能对攻击者有价值,因为它可以为用户(如果被破解)提供密码创建策略

有关红队使用Mimikatz DCSync的帮助信息

DCSync的工作方式:

一般来说,DCSYNC攻击的工作方式如下:

  1. 发现域控制器以请求复制。
  2. 使用GetNCChanges 函数请求用户复制 。
  3. DC将复制数据(包括密码哈希)返回给请求者。

 GetNCChanges函数的简介:

当第一个客户端DC要从第二个客户端获取AD对象更新时,客户端DC向服务器发送DSGetNCChanges请求。该响应包含一组客户端必须应用于其NC副本的更新。

对于仅一个响应消息,更新集可能太大。在这些情况下,将完成多个DSGetNCChanges请求和响应。此过程称为复制周期或简称为循环。

利用DCsync

  1. 打开“ Active Directory用户和计算机”管理中心
  2. 右键单击域对象,例如“ company.com”,然后右击“属性”。
  3. 在“安全性”选项卡上,如果未列出所需的用户帐户,请单击“添加”。如果列出了所需的用户帐户,请继续执行步骤7。
  4. 在“选择用户,计算机或组”对话框中,选择所需的用户帐户,然后单击“添加”。
  5. 单击确定以返回到属性对话框。
  6. 单击所需的用户帐户。
  7. 单击以选中列表中指定的属性的复选框。
  8. 单击“应用”,然后单击“确定”。
  9. 关闭管理单元。

可以使用常规域用户帐户运行DCSync。但需要在域控上委派以下三种权限,域用户帐户可才以使用DCSync成功检索密码数据:

  • 复制目录更改(DS-Replication-Get-Changes)

需要扩展权限,以便仅复制来自给定NC的那些更改,这些更改也已复制到全局编录(不包括秘密域数据)。此约束仅对域NC有意义。

  • 全部复制目录更改(DS-Replication-Get-Changes-All)

控制访问权限,该权限允许复制给定复制NC中的所有数据,包括秘密域数据。

  • 复制过滤集中的目录更改(极少出现,仅在某些环境中需要)

注意:

默认情况下,Administrators和Domain Controller组的成员具有这些权限。域中的“完全控制”权限也提供了这些权限,请限制域内用户具有域管理员级别的权限。

使用DCSync提取krbtgt账户的密码数据

lsadump::dcsync /domain:pingpig.com /user:krbtgt

导出域内所有用户的hash:

lsadump::dcsync /domain:pingpig.com /all /csv

监测DCSync的使用

虽然可以使用安全事件日志识别DCSync的使用情况,但最好的检测方法是通过网络监视

启用网络监控

网络监控是最好的检测方法。应标识所有域控制器IP地址,然后将其添加到“复制允许列表”中。企业应配置入侵检测系统(IDS),以在发现DSGetNCChange请求源自该IP列表之外时发出警报,

审核域管理员和用户权限

要防止DCSync攻击,需要了解哪些帐户具有域复制权限。有了这些基本知识,安全人员才好判断是撤销或限制域内任何一个帐户的某些权利。鉴于这些特权是域管理员和域控制器的标准权限,请考虑严格限制对这些组的访问,同时还要加强所有组成员的身份验证要求,以使离线密码破解更加困难。

加强补丁和配置管理

确保遵循基本的安全防御习惯,包括补丁和配置管理,端点检测和响应以及用户意识培训。基本的安全防护才是保护帐户免受外部攻击者或内部恶意人员攻击的最可靠方法。

Ping_Pig
关注
专栏目录
非约束委派攻击原理与利用
内心不种满鲜花就会长满杂草
04-07 5443
在Kerberos认证体系中,用户通过票据(如TGT和ST)来访问服务。TGT(Ticket-Granting Ticket)是用户向密钥分发中心(KDC)请求并获得的,用于后续请求服务票据(ST)。ST则是用户访问特定服务时所需的票据。
内网渗透攻击技术的利用
Candour_0的博客
02-07 239
内网渗透攻击技术的利用
域内攻击 ----> DCSync
huohaowen的博客
06-10 1159
其实严格意义上来说DCSync这个技术,并不是一种横向得技术,而是更偏向于权限维持吧!但是其实也是可以用来横向(配合NTLM Realy),如果不牵强说得话!那么下面,我们就来看看这个DCSync的技术。
域凭证获取——DCSync
最新发布
qq_55202378的博客
08-06 814
在一个大型网络中往往存在多台域控制器(DC),每台DC都需要保持最新的凭证,而保持最新凭证的方法就是在各个域控制器之间进行数据共享,共享用户凭证、安全描述符等域内变更信息。于是微软推出了目录复制服务,这个服务让域控制器可以在其他域控制器进行任何修改时进行更新。例如,DC1新增了一个名为test的域用户,那么DC2就可以通过该服务的自身同步功能同时更新test用户。DCSync就是伪装域控制器并使用函数来请求其他域控制器获取域内的用户凭证。DCSync攻击已经被集成到mimikatz中,在使用DCSync
内网渗透测试:DCSync 攻击技术的利用
xnxqwzy的博客
08-21 529
在域环境中,不同域控制器(DC)之间,每 15 分钟都会有一次域数据的同步。当一个域控制器(DC 1)想从其他域控制器(DC 2)获取数据时,DC 1 会向DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges接口向域控发起数据同步请求。
域渗透之DCSYNC攻击
weixin_65550121的博客
12-09 1183
2015年八月份Mimikatz新增了一个主要功能叫做"Dcsync",使用这项技术可以有效的模拟域控制器并从目标域控上请求域内用户的Hash,这项技术为当下域渗透提供了极大的便利,可以直接远程dump域内hash,另外也衍生出很多的攻击方式。在域内,不同的域控制器之间,每隔15分钟都会有一次域数据的同步,当一个域控制器想从其他域控制器上面获取数据时,DC1会向DC2发起一个GetNCChanges请求,该请求的数据,包括需要同步的数据,如果需要同步的数据比较多,则会重复上面的过程。
【域权限维持】-DCsync
qq_41617902的博客
01-20 534
DCsync:模拟域控制器并从域控制器导出帐户密码hash
【域渗透】教你怎么利用DCSync导出域内所有用户hash
HBohan的博客
08-13 941
前言 在之前的文章《域渗透——DCSync》曾系统的整理过DCSync的利用方法,本文将要针对利用DCSync导出域内所有用户hash这一方法进行详细介绍,分析不同环境下的利用思路,给出防御建议。 简介 本文将要介绍以下内容: ◼利用条件 ◼利用工具 ◼利用思路 ◼防御建议 利用条件 获得以下任一用户的权限: ◼Administrators组内的用户 ◼Domain Admins组内的用户 ◼Enterprise Admins组内的用户 ◼域控制器的计算机帐户 利用工具 1.C实现(mimikatz) 实
确保AD域控安全应对网络高级威胁攻击.pdf
02-02
3. 传统的检测技术往往无法检测到如DCSyncDCShadow这类不留痕迹的高级攻击。 4. 大量的日志数据使得事件响应和威胁搜索变得复杂,消耗了宝贵的时间。 针对这些问题,现有的安全解决方案如下一代防病毒、EDR、主机...
基于AD Event日志识别DCSync攻击
09-07 1195
01、简介DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据,以便进一步进行利用。02、DCSync攻击手法(1)MimikatzGithub项目地址:https://github.com/gentilkiwi/...
内网渗透(六十三)之滥用DCSync
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-06 912
在域中,不同的域控之间,默认每隔15min就会进行一次域数据同步。当一个额外的域控想从其他域控同步数据时,额外域控会像其他域控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像域控发起数据同步请求,以获得指定域控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
Kerberos域安全系列(26)-DCSync
prettyX的博客
02-15 897
2015年8月,Benjamin Delpy(Mimikatz的作者)和Vincent Le Toux发布了新版本的Mimikatz,新增加了DCSync功能。模仿一个域控制器DC,从真实的域控制器中请求获取数据,例如账号的口令散列值等数据。在域内,不同DC之间,每15分钟都会有一次域数据的同步。实现不登录到域控制器上,而获取域控制器数据库中的数据。 DCSync之前,为了获取域的账号口令信息,...
集权安全 | 域渗透中的 DCSync技术分析
ZAWX_NETSTARSEC的博客
05-26 1190
DCSync是AD域渗透中常用的凭据窃取手段,默认情况下,域内不同DC每隔15分钟会进行一次数据同步,当一个DC从另外一个DC同步数据时,发起请求的一方会通过目录复制协议(MS- DRSR)来对另外一台域控中的域用户密码进行复制,DCSync就是利用这个原理,“模拟”DC向真实DC发送数据同步请求,获取用户凭据数据,由于这种攻击利用了Windows RPC协议,并不需要登陆域控或者在域控上落地文件,避免触发EDR告警,因此DCSync时一种非常隐蔽的凭据窃取方式。
什么是DCSync
sangfor_edu的博客
10-28 746
在域环境中,域控制之间每十五分钟就会进行一次域数据同步。当域控制A需要从域控制器B获取数据时,会向其发送一个 GetNCChanges 请求,该请求包含了需要同步的数据,如果获取的数据较多,则会进行循环请求。DCSync是mimikatz在2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个域控制器向另一个域控制器发起数据同步请求,能够用来导出域内所有用户的hash。
ad安全-Mimikatz DCSync
老北京砸酱锤的博客
10-19 787
2015 年 8 月添加到 Mimkatz 的一个主要功能是“DCSync”,它有效地“模拟”域控制器并从目标域控制器请求帐户密码数据。DCSync 由 Benjamin Delpy 和 Vincent Le Toux 编写。 DCSync 之前的漏洞利用方法是在域控制器上运行 Mimikatz 或 Invoke-Mimikatz 以获取 KRBTGT 密码哈希来创建黄金票。使用 Mimikatz 的 DCSync 和适当的权限,攻击者可以通过网络从域控制器中提取密码哈希以及以前的密码哈希,而无需交互式登
基于AD Event日志识别DCShadow攻击
10-08 514
01、简介DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。02、攻击过程示例假设我们已经拿到了某台服务器SYSTEM权限,并从沦陷的服务器中获取到了域管理员的账号密码。第一步...
域渗透——DCSync
systemino的博客
07-31 7083
0x00 前言 DCSync是域渗透中经常会用到的技术,本文会对开源的资料进行整理,结合自己的经验,总结利用和防御检测的方法。 0x01 简介 本文将要介绍以下内容: ·利用DCSync导出域内所有用户hash的方法。 ·利用DCSync在域内维持权限的方法。 ·自动化检测DCSync后门的方法。 0x02 利用DCSync导出域内所有用户hash的方法 DCSync是mim...
soem同步时钟ec_dcsync0
05-15
SOEM同步时钟EC_DCSync0,全称为EtherCAT同步分布式时钟同步对象0,是在EtherCAT网络通信中采用的一种同步机制。在EtherCAT网络中,数据通信总线上存在一个主站(Master)和多个从站(Slave)。为了保证数据的同步性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值