Kerberos域安全系列(26)-DCSync

最新推荐文章于 2024-06-19 15:22:30 发布
最新推荐文章于 2024-06-19 15:22:30 发布
阅读量896 收藏 2
点赞数
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/104323520
版权

2015年8月,Benjamin Delpy(Mimikatz的作者)和Vincent Le Toux发布了新版本的Mimikatz,新增加了DCSync功能。模仿一个域控制器DC,从真实的域控制器中请求获取数据,例如账号的口令散列值等数据。在域内,不同DC之间,每15分钟都会有一次域数据的同步。实现不登录到域控制器上,而获取域控制器数据库中的数据。

DCSync之前,为了获取域的账号口令信息,一般需要登录域服务器,在域服务器上运行代码才可以获取。

DCSync的最大特点,在于不用登陆域服务器,即可远程通过域数据同步复制的方式获得想要的用户口令信息。

需要注意的是,DCSync攻击的对象如果是RODC域控制器,则会失效,因为RODC是不能参与复制同步数据到其他DC的。 

DCSync的原理非常清晰,利用域控制器之间的数据同步复制:

  • 发现网络中的目标域控制器
  • 通过DRS服务的GetNCChanges接口发起数据同步请求,Directory Replication Service(DRS)Remote Protocol

Samba Wiki关于GetNCChanges的描述包括:

当一个DC(成为客户端DC)想从其他DC(成为服务端DC)获取数据时,客户端DC会向服务端DC发起一个GetNCChanges请求。回应的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。毕竟每次回应的数据有限。

DCSync攻击的原理是模拟域控制器发起服务器之间的数据同步复制。最好的防御方法是给控制器设置白名单。在域内,域控制器的数量、IP地址、MAC地址是非常明确清晰的资产,将这些资产设置在允许同步的白名单内。非白名单的IP不允许发生数据同步。

DCSync攻击检测:可以在网络设备上检测来自白名单以外的域控制器数据同步复制。

 

 

prettyX
关注
专栏目录
内网渗透(四十八)之安全和跨攻击-多种方式在线读取ntds.dit文件中的hash值
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-22 223
在线的方式就是直接读取不需要在导出ntds文件,在环境中,不要直接在线获取hash,特别是环境比较大的时候,在线获取hash等待时时间较长,工具占用资源太多,容易造成控服务器崩溃。Invoke-DCSyncs是powershell脚本可以在线读取内存中的用户hash。使用impacket包中的secretsdump.exe程序直接读取。1、上传工具到目标机器,使用命令先导出ntds文件,然后直接读取。2、也可以读取单个用户的hash。1、可以读取所有用户的hash。
集权安全 | 渗透中的 DCSync技术分析
ZAWX_NETSTARSEC的博客
05-26 1189
DCSync是AD渗透中常用的凭据窃取手段,默认情况下,内不同DC每隔15分钟会进行一次数据同步,当一个DC从另外一个DC同步数据时,发起请求的一方会通过目录复制协议(MS- DRSR)来对另外一台控中的用户密码进行复制,DCSync就是利用这个原理,“模拟”DC向真实DC发送数据同步请求,获取用户凭据数据,由于这种攻击利用了Windows RPC协议,并不需要登陆控或者在控上落地文件,避免触发EDR告警,因此DCSync时一种非常隐蔽的凭据窃取方式。
DCSync:攻击与检测
Ping_Pig的博客
09-09 2007
讲在前面: Mimkatz在2015年8月添加的一个主要特性是“DCSync”,它可以有效地“模拟”一个控制器,并向目标控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。 使用适当的权限来利用Mimikatz的DCSync,攻击者可以通过网络从控制器获取密码hash和以前的密码hash,从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash 运行DCSync需要特殊权限。管理员、
内网渗透之滥用DCSync
最新发布
2401_85027082的博客
06-19 747
中,不同的控之间,默认每隔15min就会进行一次数据同步。当一个额外的控想从其他控同步数据时,额外控会像其他控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像控发起数据同步请求,以获得指定控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
什么是DCSync
sangfor_edu的博客
10-28 745
环境中,控制之间每十五分钟就会进行一次数据同步。当控制A需要从控制器B获取数据时,会向其发送一个 GetNCChanges 请求,该请求包含了需要同步的数据,如果获取的数据较多,则会进行循环请求。DCSync是mimikatz在2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个控制器向另一个控制器发起数据同步请求,能够用来导出内所有用户的hash。
渗透之通过DCSync获取权限并制作黄金票据
weixin_30886233的博客
03-02 774
环境背景 账号: admin 没有管权限 admin02 有管权限 administrator 有管权限 模拟渗透过程: 利用任意方法已经登录到client1(Windows 7),在client1上获取到了admin02的权限,进行DCSync获取krbtgt的hash,制作黄金票据,并远程IPC访问控Windows Server 2012 登录Client1抓取管凭证 ...
156-160.网络安全渗透测试—[Cobalt strike系列]—[内渗透/信息收集/本地管理员/远程命令执行文件操作/Mimikatz/登录认证/自动化横向渗透/socks代理/中转监听器]
qwsn
04-02 1775
一、Cobalt Strike内渗透 1 实验环境 1.1 实验拓扑 1.2 环境搭建 1.2.1 关闭各自内防火墙 1.2.2 配置DC组策略:自动化让用户加入到各自客户端的本地管理员组 1.2.3 DC组策略配置不当导致的权限问题:其他用户获取本地管理员权限 1.2.4 WinRM 服务的配置不当导致的问题:在权限允许下可远程执行脚本命令 1.2.5 Win7虚拟机设置不休眠不关闭显示器:防止自动挂起导致的会话关闭 2 实验1:获取webserver跳板机会话+通过webserver的smb会话
史上最全网络安全面试题总结
热门推荐
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
内渗透
include_heqile的博客
03-19 1590
文章目录文件查找使用`for`循环查找文件相关知识控制器需要开启的端口`NTDS.DIT`LDAP关于LDAP的一些重要的基本概念本地认证流程:ADSI编辑器RootDSE组策略内信息搜集查看我们所攻占的主机是否是在中借助系统命令搜取成员计算机相关信息使用bat脚本从控制器获取当前中所有计算机IP并测试连通性查看无线网络连接信息网络代理信息WPADIIS 相关Windows2003查...
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9276
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
内网渗透(七十二)之权限维持之伪造
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-14 752
2022年1月10日,国外安全研究员Kaido发文称发现了一种新的伪造控方式,安全研究员只需要新建一个机器账户,然后修改机器账户的UserAccountControl属性为8192。活动目录就会认为这个机器账户就是控,然后就可以使用这个新建的机器账户进行DCSync操作了。由于修改机器账户的UserAccountControl属性需要内高权限,因此这种方式可以用来进行权限维持。这种权限维持方式与DCShadow类似,都是在内伪造控。
渗透——DCSync
systemino的博客
07-31 7080
0x00 前言 DCSync渗透中经常会用到的技术,本文会对开源的资料进行整理,结合自己的经验,总结利用和防御检测的方法。 0x01 简介 本文将要介绍以下内容: ·利用DCSync导出内所有用户hash的方法。 ·利用DCSync内维持权限的方法。 ·自动化检测DCSync后门的方法。 0x02 利用DCSync导出内所有用户hash的方法 DCSync是mim...
环境权限维持之Dcsync
内心不种满鲜花就会长满杂草
04-19 1432
当获得了内管理员权限,如果能修改内普通用户的权限,使其具有DCSync权限的话,那么普通用户也能导出内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有控主机账号和管理员能Dcsync管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump哈希
Kerberos-非约束性委派攻击
m0_75218183的博客
06-07 435
概念: 服务账号可以获取被委派用户的TGT,并将TGT缓存到lsass进程中,从而服务账号可使用该TGT,模拟该用户访问内其他服务。非约束委派的设置需要SeEnableDelegationPrivilege权限,该特权通常只有管理员才有。
利用DSCync进行内权限维持
内心不种满鲜花就会长满杂草
03-02 522
一个环境可以拥有多台控制器,每台控制器各自存储着一份所在的活动目录的可写副本,对目录的任何修改都可以从源控制器同步到本树或林中的其他控制器上。当一个控想从另一个控获取数据更新时,客户端控会向服务端控发送DSGetNCChanges请求,该请求的响应将包含客户端控必须应用到其他活动目录副本的一组更新。通过情况下,控制器之间每15分钟就会有一次数据同步。DCSync技术就是利用控制器同步的原理,通过DRS服务的某接口向控发起数据同步请求。
内网渗透测试:DCSync 攻击技术的利用
dzqxwzoe的博客
08-20 589
环境中,不同控制器(DC)之间,每 15 分钟都会有一次数据的同步。当一个控制器(DC 1)想从其他控制器(DC 2)获取数据时,DC 1 会向DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges接口向控发起数据同步请求。
权限维持】-DCsync
qq_41617902的博客
01-20 532
DCsync:模拟控制器并从控制器导出帐户密码hash
后渗透测试神器Empire的详解
Fly_鹏程万里
06-04 1万+
1. Empire简介官网介绍如下:Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents...
Hadoop强化云数据安全Kerberos认证与Map-Reduce模型
Kerberos通过密钥分发中心(KDC)进行身份验证,为用户提供安全的身份凭证,防止未经授权的访问,从而提高了云存储的安全级别。 在论文中,作者对Hadoop结合Kerberos的应用进行了深入分析,并将其与现有的云安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值