0x00 背景
进行内网渗透时,会经常使用到 DCSync 技术去导出域内所有用户 Hash 。如果练习多的话,在不同环境中使用 DCSync 获取到的结果大部分是密文的情况,但是在有的环境中获取到的结果是明文。今天正好有空闲时间就看了下,如果在AD用户与计算机中创建计算机或者用户时,选取特定配置项,再修改密码,使用 DCSync 可以获取到明文密码。
0x01 DCSync 获取密文 Hash
获取用户帐户列表
command:net user /domain
DCSync 获取指定用户 Hash
command:dcsync de1ay.com mssql
此处获取 mssql 用户的 Hash 值,如下图所示,返回的是密文 Hash。
0x02 DCSync 获取明文密码
添加域用户
用户名:C4
口令:1qaz@WSX
设置用户属性-使用可逆加密存储密码
在Active Directory 用户和计算机中创建新用户,在创建用户时勾选使用可逆加密存储密码。
DCSync 获取用户明文密码
command:dcsync de1ay.com c4
参考文章
https://docs.microsoft.com/zh-cn/previous-versions//mt634228(v=vs.85)?redirectedfrom=MSDN