内网渗透攻击技术的利用

最新推荐文章于 2025-03-21 06:16:29 发布
原创 最新推荐文章于 2025-03-21 06:16:29 发布 · 381 阅读 · 1
标签
#哈希算法 #算法 #spring boot #网络 #安全
DCSync是一种利用Directory Replication Service(DRS)从域控制器获取数据的技术,常见于域渗透。Mimikatz、Secretsdump.py和PowerShell等工具可以实现DCSync,用于导出域内哈希、制作黄金票据和维持权限。防御DCSync需限制权限,监控具有DCSync权限的用户,并使用ACL防止权限滥用。

DCSync 是什么

在域环境中,不同域控制器(DC)之间,每 15 分钟都会有一次域数据的同步。当一个域控制器(DC 1)想从其他域控制器(DC 2)获取数据时,DC 1 会向 DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。DCSync 就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges 接口向域控发起数据同步请求。

DCSync 是域渗透中经常会用到的技术,其被整合在了 Mimikatz 中。在 DCSync 功能出现之前,要想获得域用户的哈希,需要登录域控制器,在域控制器上执行代码才能获得域用户的哈希。

2015 年 8 月,Benjamin Delpy(神器 Mimikatz 的作者)和 Vincent Le Toux 发布了新版本的 Mimikatz,新增加了 DCSync 功能。该功能可以模仿一个域控制器,从真实的域控制器中请求数据,例如用户的哈希。该功能最大的特点就是不用登陆域控制器,即可远程通过域数据同步复制的方式获得域控制器上的的数据。

注意:DCSync 攻击的对象如果是只读域控制器 (RODC),则会失效,因为 RODC 是不能参与复制同步数据到其他 DC 的。

在默认情况下,只有 Administrators、Domain Controllers 和 Enterprise Domain Admins 组内的用户有权限使用 DCSync,但我们可以对域内普通用户添加 ACL (Access Control List) 实现普通用户也能调用 DCSync 功能。

2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>点我<一

利用 DCSync 导出域内哈希

当我们获取相应的权限后,可以利用 DCSync 功能导出域内用户的哈希值。其原理就是利用 DRS (Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据。获得了域内用户的哈希后可以进一步利用。

通过 Mimikatz

在获取权限的域成员主机上执行如下:

# 导出域内指定用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /user:administrator 
lsadump::dcsync /domain:whoamianony.org /user:administrator /csv

# 导出域内所有用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /alllsadump::dcsync /domain:whoamianony.org /all /csv

如上图所示,成功获取 Administrator 用户的 NTLM 哈希。

通过 Secretsdump.py

Secretsdump.py 是 Impacket 框架中的一个脚本,该脚本也可以通过 DCSync 技术导出域控制器上用户的哈希。该工具的原理是首先使用提供的用户登录凭据通过 smbexec 或者 wmiexec 远程连接至域控制器并获得高权限,进而从注册表中导出本地帐户的哈希,同时通过 Dcsync 或从 NTDS.dit 文件中导出所有域用户的哈希。其最大的优点是支持从域外的计算机连接至域控制器。

使用方法如下:

python3 secretsdump.py whoamianony/a
最低0.47元/天 解锁文章
内网渗透(六十三)之滥用DCSync
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-06 1142
在域中,不同的域控之间,默认每隔15min就会进行一次域数据同步。当一个额外的域控想从其他域控同步数据时,额外域控会像其他域控发起请求,请求同步数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用这个原理,通过目录复制服务(Directory Replication Service,DRS)的GetNCChanges接口像域控发起数据同步请求,以获得指定域控上的活动目录数据。目录复制服务也是一种用于在活动目录中复制和管理数据的RPC协议。该协议由两个RPC接口组成。
集权安全 | 域渗透中的 DCSync技术分析
ZAWX_NETSTARSEC的博客
05-26 1576
DCSync是AD域渗透中常用的凭据窃取手段,默认情况下,域内不同DC每隔15分钟会进行一次数据同步,当一个DC从另外一个DC同步数据时,发起请求的一方会通过目录复制协议(MS- DRSR)来对另外一台域控中的域用户密码进行复制,DCSync就是利用这个原理,“模拟”DC向真实DC发送数据同步请求,获取用户凭据数据,由于这种攻击利用了Windows RPC协议,并不需要登陆域控或者在域控上落地文件,避免触发EDR告警,因此DCSync时一种非常隐蔽的凭据窃取方式。
内网渗透测试:DCSync 攻击技术利用
dzqxwzoe的博客
08-20 1243
在域环境中,不同域控制器(DC)之间,每 15 分钟都会有一次域数据的同步。当一个域控制器(DC 1)想从其他域控制器(DC 2)获取数据时,DC 1 会向DC 2 发起一个 GetNCChanges 请求,该请求的数据包括需要同步的数据。如果需要同步的数据比较多,则会重复上述过程。DCSync就是利用的这个原理,通过 Directory Replication Service(DRS) 服务的 GetNCChanges接口向域控发起数据同步请求。
域凭证获取——DCSync
qq_55202378的博客
08-06 1298
在一个大型网络中往往存在多台域控制器(DC),每台DC都需要保持最新的凭证,而保持最新凭证的方法就是在各个域控制器之间进行数据共享,共享用户凭证、安全描述符等域内变更信息。于是微软推出了目录复制服务,这个服务让域控制器可以在其他域控制器进行任何修改时进行更新。例如,DC1新增了一个名为test的域用户,那么DC2就可以通过该服务的自身同步功能同时更新test用户。DCSync就是伪装域控制器并使用函数来请求其他域控制器获取域内的用户凭证。DCSync攻击已经被集成到mimikatz中,在使用DCSync。
渗透之DCSYNC攻击
weixin_65550121的博客
12-09 1931
2015年八月份Mimikatz新增了一个主要功能叫做"Dcsync",使用这项技术可以有效的模拟域控制器并从目标域控上请求域内用户的Hash,这项技术为当下域渗透提供了极大的便利,可以直接远程dump域内hash,另外也衍生出很多的攻击方式。在域内,不同的域控制器之间,每隔15分钟都会有一次域数据的同步,当一个域控制器想从其他域控制器上面获取数据时,DC1会向DC2发起一个GetNCChanges请求,该请求的数据,包括需要同步的数据,如果需要同步的数据比较多,则会重复上面的过程。
【域权限维持】-DCsync
qq_41617902的博客
01-20 1007
DCsync:模拟域控制器并从域控制器导出帐户密码hash
渗透-DCSync
mingyqf的博客
02-26 1680
作者:Zahad003 原文链接:https://www.cnblogs.com/Mikasa-Ackerman/p/yu-shen-touDCSync.html DCSync是域渗透中经常用到的技术(我在大致学习了以后发现确实如此) 利用条件: 获得以下任一用户的权限: Administrators组内的用户 Domain Admins组内的用户 Enterprise Admins组内的用户 域控制器的计算机帐户 Mimikatz实现 导出域内所有用户hash mimikatz.exe privile
DCSync:攻击与检测
Ping_Pig的博客
09-09 2387
讲在前面: Mimkatz在2015年8月添加的一个主要特性是“DCSync”,它可以有效地“模拟”一个域控制器,并向目标域控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。 使用适当的权限来利用Mimikatz的DCSync,攻击者可以通过网络从域控制器获取密码hash和以前的密码hash,从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash 运行DCSync需要特殊权限。管理员、域管
域环境权限维持之Dcsync
渗透之路,攻防之间皆学问
04-19 2004
当获得了域内管理员权限,如果能修改域内普通用户的权限,使其具有DCSync权限的话,那么普通域用户也能导出域内用户的哈希,这样可以做一个隐蔽的权限维持。默认只有域控主机账号和域管理员能Dcsync,域管和邮件服务器的机器账号有写ACL的权限,可以给指定用户添加Dcsync来dump域哈希
基于AD Event日志识别DCShadow攻击
10-08 774
01、简介DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。02、攻击过程示例假设我们已经拿到了某台服务器SYSTEM权限,并从沦陷的服务器中获取到了域管理员的账号密码。第一步...
利用DSCync进行域内权限维持
渗透之路,攻防之间皆学问
03-02 814
一个域环境可以拥有多台域控制器,每台域控制器各自存储着一份所在域的活动目录的可写副本,对目录的任何修改都可以从源域控制器同步到本域、域树或域林中的其他域控制器上。当一个域控想从另一个域控获取域数据更新时,客户端域控会向服务端域控发送DSGetNCChanges请求,该请求的响应将包含客户端域控必须应用到其他活动目录副本的一组更新。通过情况下,域控制器之间每15分钟就会有一次域数据同步。DCSync技术就是利用域控制器同步的原理,通过DRS服务的某接口向域控发起数据同步请求。
DCSync攻击原理与实战演练
最新发布
qq_38220914的博客
03-21 436
在AD中,多个DC之间通过Directory Replication Service(DRS)同步数据,如用户账户、组信息、计算机账号、密码哈希(NTLM、Kerberos AES密钥)。具有特殊权限的账户可以伪装成DC,向真实DC请求同步所有用户的NTLM哈希值。这些权限包括:• DS-Replication-Get-Changes:复制目录更改• DS-Replication-Get-Changes-All:全部复制目录更改。
内网常见域内攻击
Amire0x的小乐园
11-30 1606
域内攻击 kerberos攻击 利用黄金票据+dcsync获取密码 先获取黄金票据 获取密码 lsadump::dcsync /user:用户 /domain:域名称 成功 域用户、密码枚举 工具 用户枚举 先导入 Import-Module .\DomainPasswordSpray.ps1 然后执行 Get-DomainUserList -Domain domainname -RemoveDisabled -RemovePotentialLockouts | Out-File -
TryHackMe-进攻性渗透测试-12_枚举活动目录
M1n9K1n9的博客
12-24 744
一旦我们有了第一组 AD 凭据以及在网络上对其进行身份验证的方法,一个充满可能性的全新世界就会打开!我们可以通过经过身份验证的访问(甚至是超低特权访问)开始枚举有关 AD 设置和结构的各种详细信息。在红队参与期间,这通常会导致我们能够执行某种形式的权限提升或横向移动以获得额外的访问权限,直到我们有足够的权限来执行和实现我们的目标。在大多数情况下,枚举和利用严重交织在一起。一旦枚举阶段显示的攻击路径被利用,将再次从这个新的特权位置执行枚举,如下图所示。
渗透之Dcsync
谢公子的博客
10-09 3827
在DCSync功能出现之前,要想获得域用户的哈希,需要登录域控制器,在域控制器上执行代码才能获得域用户的哈希。2015年8月,新版的mimikatz增加了DCSync的功能,该功能可以模仿一个域控DC,从真实的域控中请求数据,如用户的哈希。该功能最大的特点就是可以实现不登录到域控而获取域控上的数据。 在域中,不同的DC之间,每隔15分钟会进行一次域数据的同步。当一个DC(辅助DC)想从其他DC(主DC)获取数据时,辅助DC会向主DC发起一个GetNCChanges请求。请求的数据包括需要同步的数据。如果需
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值