【域渗透】教你怎么利用DCSync导出域内所有用户hash
前言
在之前的文章《域滲透——DCSync》曾系統的整理過DCSync的利用方法,本文將要針對利用DCSync導出域內所有用戶hash這一方法進行詳細介紹,分析不同環境下的利用思路,給出防御建議。
簡介
本文將要介紹以下內容:
?利用條件
?利用工具
?利用思路
?防御建議
利用條件
獲得以下任一用戶的權限:
?Administrators組內的用戶
?Domain Admins組內的用戶
?Enterprise Admins組內的用戶
?域控制器的計算機帳戶
利用工具
1.C實現(mimikatz)
實現代碼:
https://github.com/gentilkiwi/mimikatz/blob/master/mimikatz/modules/lsadump/kuhl_m_lsadump_dc.c#L27
示例命令:
(1)導出域內所有用戶的hash
(2)導出域內administrator帳戶的hash
2.Python實現(secretsdump.py)
示例命令:
3.Powershell實現(MakeMeEnterpriseAdmin)
?核心代碼使用C Sharp實現,支持以下三個功能:
?通過DCSync導出krbtgt用戶的hash
?使用krbtgt用戶的hash生成Golden ticket
導入Golden ticket
注:
我在測試環境下實驗結果顯示,生成Golden ticket的功能存在bug,導入Golden ticket后無法獲得對應的權限
4.C Sharp實現
我在(MakeMeEnterpriseAdmin)的基礎上做了以下修改:
?支持導出所有用戶hash
?導出域sid
?導出所有域用戶sid
代碼已上傳至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpDCSync.cs
補充:代碼開發細節
輸出Dictionary中所有的鍵和值:
byte數組轉string,用來輸出hash:
string轉byte數組,用來將hash轉換成byte數組:
利用思路
1.在域控制器上執行
0x03中提到的工具均可以
2.在域內主機上執行
(1)Mimikatz
有以下兩種利用思路:
?導入票據,執行DCSync
?利用Over pass the hash啟動腳本,腳本執行DCSync
(2)secretsdump.py
直接執行即可
(3)C Sharp實現
首先需要生成票據
有以下兩種利用思路:
1、拿到krbtgt用戶的hash,在本地使用Mimikatz生成Golden ticket
命令示例:
2、拿到高權限用戶,使用Rubeus發送請求獲得ticket
命令示例:
接著導入票據
可以選擇SharpTGTImporter.cs,代碼已上傳至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpDCSync.cs
我在(MakeMeEnterpriseAdmin)的基礎上做了以下修改:
支持導入指定票據文件
命令示例:
最后執行DCSync
導出所有用戶hash可以選擇SharpDCSync.cs,代碼已上傳至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpDCSync.cs
命令示例:
導出krbtgt用戶hash可以選擇SharpDCSync_krbtgt.cs,代碼已上傳至github,地址如下:
https://github.com/3gstudent/Homework-of-C-Sharp/blob/master/SharpDCSync_krbtgt.cs
命令示例:
3.在域外主機上執行
方法同“2.在域內主機上執行”
防御建議
攻擊者需要以下任一用戶的權限:
?Administrators組內的用戶
?Domain Admins組內的用戶
?Enterprise Admins組內的用戶
?域控制器的計算機帳戶
通過事件日志檢測可以選擇監控日志Event ID 4662
參考資料:
https://www.blacklanternsecurity.com/2020-12-04-DCSync/
小結
本文介紹了利用DCSync導出域內所有用戶hash的方法,在(MakeMeEnterpriseAdmin)的基礎上編寫代碼SharpTGTImporter.cs和SharpDCSync.cs,便于利用,結合利用思路,給出防御建議。
最后
我有整理了相關的資料與工具,有需要的可以關注私我哦,我分享給你
【資料大綱】
總結
以上是生活随笔為你收集整理的【域渗透】教你怎么利用DCSync导出域内所有用户hash的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【CTF大赛】第五届XMan选拔赛 ez
- 下一篇: 【入门建议收藏】密码学学习笔记之线性分析