域环境权限维持之Dcsync

已于 2022-04-19 16:35:38 修改
阅读量1.4k 收藏 4
点赞数 4
分类专栏: 内网攻防
于 2022-04-19 16:31:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/124274233
版权

Dsync 域环境权限维持

目录

Dcsync

一、Dcsync导出域用户Hash

二、利用Dcsync进行域内权限维持

总结

上一篇我们介绍了使用黄金票据与白银票据进行权限维持—> 域环境权限维持之黄金、白银票据,接下来介绍利用Dcsync进行域内权限维持。DCSync是mimikatz的一个功能,能够模拟域控制器并从域控制器导出帐户密码hash

Dcsync

在域环境中,不同域控制器(DC)之间,每 15 分钟都会有一次域数据的同步。当一个域控制器(DC 1)想从其他域控制器(DC2)获取数据时,DC 1 会向 DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。

DCSync 就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口向域控发起数据同步请求。

新版本的 Mimikatz新增加了 DCSync 功能。该功能可以模仿一个域控制器,从真实的域控制器中请求数据,例如用户的哈希。该功能最大的特点就是可以实现不登录到域控而获取域控上的数据

当获得了域内管理员权限,如果能修改域内普通用户的权限,使其具有DCSync权限的话,那么普通域用户也能导出域内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有域控主机账号和域管理员能Dcsync,域管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump域哈希。

一、Dcsync导出域用户Hash

导出域用户hash,需获取以下任意用户的权限:

  • Administrators组内的用户
  • Domain Admins组内的用户
  • Enterprise Admins组内的用户
  • 域控制器的计算机帐户

因为域管理员在Domain Admins组内,所以可以导出域内所有域用户的hash。在win2012上操作:

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:test.lab /all /csv"

导出administrator用户的Hash,即域控账号的hash

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:test.lab /user:administrator"

二、利用Dcsync进行域内权限维持

获得以下任一用户的权限:

  • Domain Admins组内的用户
  • Enterprise Admins组内的用户

环境:

  • 域控 192.168.10.2
  • 域普通机器:win7
  • 域管理员机器:win2012

假设我们获取了域管理员win2012的机器及域普通机器win7,现在通过在win2012上添加ACE实现win7导出域控hash的能力。

DCsync是几个权限的集合体,如果使其具有DCSync权限的话,可以使用powerview.ps1向域内普通用户添加如下三条ACE(Access Control Entries):

DS-Replication-Get-Changes—>(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes-All—>(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes—>(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

1. 在域管用户win2012机器上给域普通用户yuwin7添加以上三条ACE

#添加ACE
powershell -exec bypass
import-module .\PowerView.ps1;Add-DomainObjectAcl -TargetIdentity “DC=test,DC=lab” -PrincipalIdentity yuwin7 -Rights DCSync -Verbose

#使用完后可以删除ACE
Remove-DomainObjectAcl -TargetIdentity “DC=test,DC=lab” -PrincipalIdentity yuwin7 -Rights DCSync -Verbose

 2. 未加ACE之前,win7导出域内所有hash,是导不出的。加了ACE之后成功导出域内所有哈希

ps: 只能导出hash,不能执行像 dir以及psexec连接这样的操作

总结

当我们获取了域管理员权限,利用Dcsync我们能实现使用普通域用户远程导出所有域内用户hash的能力,进而实现隐蔽的权限维持。

Vibe~
关注
专栏目录
内网渗透(六十三)之滥用DCSync
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-06 912
中,不同的控之间,默认每隔15min就会进行一次数据同步。当一个额外的控想从其他控同步数据时,额外控会像其他控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像控发起数据同步请求,以获得指定控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
内网渗透-内的权限维持
lza20001103的博客
10-01 1036
内的权限维持 文章目录内的权限维持前言PTTTGT(黄金票据)sspSkeleton KeySID History后记 前言 上期我们讲了windows和Linux中的权限维持,这期我们讲一下内的权限维持权限维持是后渗透必不可少的环节,大家一定要好好掌握啊。 PTT PTT(票据) window认证机制 http://note.youdao.com/noteshare?id=cb8c505af1c38b461be8e964e9825dca&sub=F271F9DD1A894C4188D1AE
权限维持】-DCsync
qq_41617902的博客
01-20 534
DCsync:模拟控制器并从控制器导出帐户密码hash
凭证获取——DCSync
最新发布
qq_55202378的博客
08-06 815
在一个大型网络中往往存在多台控制器(DC),每台DC都需要保持最新的凭证,而保持最新凭证的方法就是在各个控制器之间进行数据共享,共享用户凭证、安全描述符等内变更信息。于是微软推出了目录复制服务,这个服务让控制器可以在其他控制器进行任何修改时进行更新。例如,DC1新增了一个名为test的用户,那么DC2就可以通过该服务的自身同步功能同时更新test用户。DCSync就是伪装控制器并使用函数来请求其他控制器获取内的用户凭证。DCSync攻击已经被集成到mimikatz中,在使用DCSync
利用DSCync进行权限维持
内心不种满鲜花就会长满杂草
03-02 526
一个环境可以拥有多台控制器,每台控制器各自存储着一份所在的活动目录的可写副本,对目录的任何修改都可以从源控制器同步到本树或林中的其他控制器上。当一个控想从另一个控获取数据更新时,客户端控会向服务端控发送DSGetNCChanges请求,该请求的响应将包含客户端控必须应用到其他活动目录副本的一组更新。通过情况下,控制器之间每15分钟就会有一次数据同步。DCSync技术就是利用控制器同步的原理,通过DRS服务的某接口向控发起数据同步请求。
权限维持
wuxinweii的博客
12-01 3824
DSRM后门: 目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器控制器的安全模式启动选项。DSRM允许管理员用来修复或还原修复或重建活动目录数据库。活动目录安装后,安装向导提示管理员选择一个DSRM密码。有了密码,管理员可以防护数据库后门,避免之后出问题。但是它不提供访问或任何服务。如果DSRM密码忘了,可以使用命令行工具NTDSUtil进行更改。 在渗透测试中,可以使用DSRM对环境进行持久化操作。适用版本为windows serv
权限维持(ACL滥用)
qq_18811919的博客
03-28 1228
本篇文章讲述如何使用Rights-GUID方式添加ACE以及现在常见的八种ACL权限滥用的配置与利用,其中使用到的工具有Admod/Adinfd/powerview等,ACL的权限维持手段还是以最小权限为优,比如RBCD/重置密码/写入成员等尽量不要添加全部ACE这种在实战的时候可以尽量使用简单的权限维持手法。
内网渗透(七十二)之权限维持之伪造
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-14 754
2022年1月10日,国外安全研究员Kaido发文称发现了一种新的伪造控方式,安全研究员只需要新建一个机器账户,然后修改机器账户的UserAccountControl属性为8192。活动目录就会认为这个机器账户就是控,然后就可以使用这个新建的机器账户进行DCSync操作了。由于修改机器账户的UserAccountControl属性需要内高权限,因此这种方式可以用来进行权限维持。这种权限维持方式与DCShadow类似,都是在内伪造控。
内网渗透(七十七)之权限维持之ACL滥用(中)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-18 615
如图所示是微软对于msDS-AllowedToActOnBehalfOfOtherldentity 属性的描述jack是中的一个普通用户。
权限维持方法浅析.pdf
08-08
前情提要& 本集简介 Golden Ticket Silver Ticket SID History SID History -Golden Ticket Now More GOLDEN! Directory Service Restore Mode (DSRM) DSRM -Pass The Hash&DCSync Malicious Security ...ACL -DCSync
渗透之通过DCSync获取权限并制作黄金票据
weixin_30886233的博客
03-02 774
环境背景 账号: admin 没有权限 admin02 有权限 administrator 有权限 模拟渗透过程: 利用任意方法已经登录到client1(Windows 7),在client1上获取到了admin02的权限,进行DCSync获取krbtgt的hash,制作黄金票据,并远程IPC访问控Windows Server 2012 登录Client1抓取管凭证 ...
内网渗透(六十七)之权限维持之委派
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-12 606
关于委派的概念以及委派的一些攻击手法,在之前的文章之中已经给大家讲过一些了,本编文章主要讲解利用委派来进行权限维持。假设被委派的服务B为krbtgt,而服务A是我们控制的一个服务账户或机器账户。配置服务A到服务B的约束性委派和基于资源的约束性委派,那么我们控制的账户就可以获取KDC服务的ST了(也就是TGT)。获得KDC的ST后,就可以伪造任何权限用户的TGT,以此来打造一个变种的黄金票据了。
dcsync 权限维持
admin的博客
05-23 1214
DCSync渗透中经常会用到的技术,其被整合在了 Mimikatz 中。在 DCSync 功能出现之前,要想获得用户的哈希,需要登录控制器,在控制器上执行代码才能获得用户的哈希。该功能可以模仿一个控制器,从真实的控制器中请求数据,例如用户的哈希。该功能最大的特点就是不用登陆控制器,即可远程通过数据同步复制的方式获得控制器上的的数据。
渗透-DCSync
mingyqf的博客
02-26 1370
作者:Zahad003 原文链接:https://www.cnblogs.com/Mikasa-Ackerman/p/yu-shen-touDCSync.html DCSync渗透中经常用到的技术(我在大致学习了以后发现确实如此) 利用条件: 获得以下任一用户的权限: Administrators组内的用户 Domain Admins组内的用户 Enterprise Admins组内的用户 控制器的计算机帐户 Mimikatz实现 导出内所有用户hash mimikatz.exe privile
什么是DCSync
sangfor_edu的博客
10-28 746
环境中,控制之间每十五分钟就会进行一次数据同步。当控制A需要从控制器B获取数据时,会向其发送一个 GetNCChanges 请求,该请求包含了需要同步的数据,如果获取的数据较多,则会进行循环请求。DCSync是mimikatz在2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个控制器向另一个控制器发起数据同步请求,能够用来导出内所有用户的hash。
渗透——DCSync
systemino的博客
07-31 7083
0x00 前言 DCSync渗透中经常会用到的技术,本文会对开源的资料进行整理,结合自己的经验,总结利用和防御检测的方法。 0x01 简介 本文将要介绍以下内容: ·利用DCSync导出内所有用户hash的方法。 ·利用DCSync维持权限的方法。 ·自动化检测DCSync后门的方法。 0x02 利用DCSync导出内所有用户hash的方法 DCSync是mim...
内攻击 ----> DCSync
huohaowen的博客
06-10 1159
其实严格意义上来说DCSync这个技术,并不是一种横向得技术,而是更偏向于权限维持吧!但是其实也是可以用来横向(配合NTLM Realy),如果不牵强说得话!那么下面,我们就来看看这个DCSync的技术。
渗透之DCSYNC攻击
weixin_65550121的博客
12-09 1183
2015年八月份Mimikatz新增了一个主要功能叫做"Dcsync",使用这项技术可以有效的模拟控制器并从目标控上请求内用户的Hash,这项技术为当下渗透提供了极大的便利,可以直接远程dump内hash,另外也衍生出很多的攻击方式。在内,不同的控制器之间,每隔15分钟都会有一次数据的同步,当一个控制器想从其他控制器上面获取数据时,DC1会向DC2发起一个GetNCChanges请求,该请求的数据,包括需要同步的数据,如果需要同步的数据比较多,则会重复上面的过程。
DCSync:攻击与检测
Ping_Pig的博客
09-09 2008
讲在前面: Mimkatz在2015年8月添加的一个主要特性是“DCSync”,它可以有效地“模拟”一个控制器,并向目标控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。 使用适当的权限来利用Mimikatz的DCSync,攻击者可以通过网络从控制器获取密码hash和以前的密码hash,从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash 运行DCSync需要特殊权限。管理员、
环境禁用USB存储设备策略
"在环境下限制USB存储设备的使用,允许USB键盘鼠标正常工作" 在企业环境中,尤其是控制环境下,对USB设备的管理是至关重要的,主要是为了防止数据泄露和恶意软件通过USB设备传播。本篇将介绍如何在Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vibe~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值