DCSync

Ý tưởng

Ý tưởng DCSync là lợi dụng cơ chế replicate của AD thông qua Directory Replication Service Remote Protocol để copy toàn bộ db về user và có được tất cả NTLM hash password.

Điều kiện để exploit là ta phải có quyền DS-Replication-Get-Changes-All để có thể yêu cầu DC replicate dữ liệu

Mặc định Domain Admins cũng sẽ có các quyền này

Enumeration

Xác nhận 1 user có quyền để exploit DCSync hay không

Hoặc nếu có quyền Write thì ta có thể ghi thêm quyền vào user để có thể exploit DCSync

Exploit

Dùng secretsdump.py

  • Khi dùng flag -just-dc ta sẽ nhận được vừa hashes, vừa kerberos key và plaintext password nếu như account được set reversible encryption enabled.

  • Reversible encryption không phải là cơ chế lưu plaintext mà là mã hóa với RC4, key mã hóa sẽ được lưu trong reg (the Syskey). Do đó trong quá trình secretsdump.py exploit thì nó cũng sẽ tự động lấy key và decrypt.

  • Khi ta enable reversible encryption của một account, thì ta phải đổi password của account đó thì reversible encryption mới được áp dụng cho password mới.

Enum user có enable reversible encryption

Ngoài ra ta cũng có thể dùng mimikatz.exe để exploit. Đương nhiên yêu cầu là ta phải có quyền admin local

PreviousASREPRoastingNextACL Abuse

Last updated