DCSync

How Does it Work?

DCSync là kĩ thuật stealing AD password database bằng cách sử dụng built-in Directory Replication Service Remote Protocol, được sử dụng bởi DC để replicate dữ liệu domain. Điều này cho phép attacker có thể mimic DC để truy xuất NTLM hash password.

Điểm mấu chốt ở đây là attacker yêu cầu DC replicate password qua DS-Replication-Get-Changes-All . Đây là quyền kiểm soát truy cập mở rộng trong AD, cho phép replicate secret data.

Để thực hiện tấn công này, attacker phải có quyền kiểm soát được account có quyền thực hiện domain replication (một user với Replicating Directory ChangesReplicating Directory Changes All permissions).

Viewing Replication Privileges:

Đầu tiên attacker sẽ lấy SID của account khác trong command trê và sau đó check tất cả ACLs được set trên domain object (ví dụ: DC=inlanefreight,DC=local) sử dụng Get-ObjectAcl để ;ấu các ALCs được liên kết với object.

Extracting NTLM Hashes and Kerberos Keys Using secretsdump.py

Sử dụng flag -just-dc-ntlm để chỉ lấy NTLM hashes hoặc để -just-dc-user <USERNAME> chỉ lấy hash cụ thể cho user. Attacker có thể dump NTDS data với flag này.

Khi option "Store password using reversible encryption", password không được lưu dưới dạng cleartext nhưng tuy nhiên nó được lưu ở dạng RC4, key được lưu ở registry (tham khảo Syskey) và có thể extracted bởi Domain Admin.

Enumerating Further using Get-ADUser

Check Reversible Encryption Option without DSA.msc

Decrypted Password

File .ntds.cleartext

Sử dụng Mimikatz để target tới user built-in administrator hoặc account krbtgt để tạo Golden Ticket cho persistence. Lưu ý là phải chạy Mimikatz trong context shell của user có quyền DCSync. Sử dụng runas.exe:

PreviousACL Abuse TacticsNextPrivileged Access

Last updated