专栏首页安恒网络空间安全讲武堂域渗透技巧之使用DCShadow静默关闭Active Directory审计

域渗透技巧之使用DCShadow静默关闭Active Directory审计

来源:

https://www.labofapenetrationtester.com/2018/05/dcshadow-sacl.html

感谢文森特和本杰明, 我对DCShadow的迷恋仍在继续。我以前也在博客上写过关于DCShadow的文章。。

我最近发现的一个非常有趣的事情, DCShadow能够修改系统访问控制列表或SACL。当我们在AD对象上启用成功或失败的审计时,会向该对象的 SACL添加一个条目(称为ACE -访问控制条目)。对象的权限由 DACL控制。例如,我们在上一篇文章中修改了 AdminSDHolderDACL来实现权限持久化。

问题描述

因此, SACL控制AD对象的审计(日志记录)。这意味着如果我们想在渗透测试期间避免系统记录我们的活动行为,我们应该在第一时间关闭它。没错?但这很容易吗?

假设在 AdminSDHolder容器上打开了完整审计,甚至记录了读取操作。那么 SACL的配置如下图所示:

SACL管理着一些东西的事件记录。例如,使用上述审计设置,如果我们将用户的完全控制权限添加到 AdminSDHolder来进行持久化,则会产生记录事件 ID4662

现在,我们想关闭 AdmingerHolder对象的审计,避免产生上述日志。

这可以通过删除 ACE来完成。但删除的过程并不像我们希望的那样是静默完成的。删除 ACE会导致产生更多的 4662事件

如果我们定位该用户对象并删除对该用户的审计,则除了产生多个 4662事件之外还会产生 4738事件(用户帐户管理)。

解决方案

现在,我们该如何利用 DCShadow静默删除审计呢?尝试以下命令设置 AdminSDHolder的AC来关闭增强的审计:

Bingo!关闭日志记录的操作并没有产生日志。当然,因为没有产生日志,所以我无法直接向你证明没有日志:P,但我们可以看看最新的SACL:

请注意,系统仍然产生了与DCShadow相关的日志(4742用于注册为DC的计算机,4662用于域对象),但再没有其他日志内容了。

请注意,上面的审计条目是 SPAIAU; CIFA; DT ;;; WD

这是什么意思呢?

S: - SACL

PAI - 阻止从较高对象继承

AU - 系统审计

CI - 容器继承 - 子对象继承此项。

FA - 审计失败

DT - 删除树 - 除了记录此事件的可能性比较小之外,没有使用此条目的特殊理由。

WD - Everyone

如果你不熟悉SDDL,请通过Technet上的这些文章作为开始:安全描述符定义爱的语言(第1部分)和第2部分。

那么为什么是上面的条目呢?其实并没有特别的理由。我想,删除一个条目比删除所有条目更好。如果你想要使用一个只是 S* : *PAI 的无效SACL,那么在GUI中的设置如下图所示:

你可以使用下面的代码读取对象的现有ACL。要轻松获取所需的ACE,可以使用GUI进行设置,然后使用以下代码读取条目:

PS C:\\> Import-Module ActiveDirectory
PS C:\\> (Get-Acl 'AD:\CN=AdminSDHolder,CN=System,DC=offensiveps,DC=com' -Audit).SDDL

进一步的研究

目前的研究很好,但是有很多机会对此进行进一步的研究。比如,在我们推送属性之前,当mimkatz执行"属性检查"时,系统仍然会记录一个4662事件。我阅读了mimikatz的源代码,并试图避免产生日志,但没有成功。

此外,我找不到关闭域对象的默认SACL的方法。从理论上讲,这应该可以通过我们上面使用的类似的命令轻松完成!

另外,还存在基于日志缺失的检测。除非我们对审计进行最小程度的修改,否则我们仍会被系统检测到。

本文分享自微信公众号 - 安恒网络空间安全讲武堂(cyberslab)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-12-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Python编写渗透工具学习笔记一 | 0x02实现一个反弹shell

    0x02实现一个反弹shell 这个比较简单,就是用套接字,tcp三次握手,然后用subprocess模块实现命令执行 注意客户端和服务端脚本中的端口要一致,不...

    安恒网络空间安全讲武堂
  • 如何成长为一个厉害的安全(黑)工程师(客)?

    1如何成长为一个厉害的安全(黑)工程师(客)? 故事发生在很久很久以前,曾经有个古老的同性交友网站叫做github.com 在这上面有个项目叫做aweso...

    安恒网络空间安全讲武堂
  • DDCTF2019

    URL为 http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09,将参数解码

    安恒网络空间安全讲武堂
  • 一个Android studio的plugins的安装异常

    本图来自https://www.cnblogs.com/whycxb/p/6850454.html

    凌川江雪
  • 跟我来了解CC认证!(全球最顶级的产品安全认证标准)

    上次提到的TEE认证测试分为功能性和安全性认证,昨天介绍的是GP功能性认证,今天我们来看看CC! 1,CC简介 世界各国都非常重视信息安全认证标准,国外主要是C...

    安智客
  • CVPR 2018 | 逆视觉问答任务:一种根据回答与图像想问题的模型

    随着传统的目标检测和目标识别方法的发展,很多问题已经得到了解决,人们对于解决更具挑战性的问题的兴趣也在激增,这些问题需要计算机视觉系统更好的「理解」能力。图像描...

    机器之心
  • 【Mockplus教程】安装Mockplus

    MAC上安装Mockplus 1 下载 进入摩客官网桌面端下载页面,选择MAC版本下载; 2 安装 下载完成后,打开dmg包,将Mockplus图标拖...

    奔跑的小鹿
  • [golang]A modern, fast and scalable websocket framework with elegant API written in Go

    A modern, fast and scalable websocket framework with elegant API written in Go h...

    landv
  • 随机产生和为S的N个正整数

    针对该问题,解决的方法有很多种。在这篇文章中,我将为大家给出两种比较好理解的解决方法:一个是“尺子法”;另外一个是“锯木头法”。(名字随便取的,主要是方便理解用...

    孟君
  • 女朋友生气了吗?算法比直男更懂她

    场景描述:利用 AI 技术判断一个人的情绪通常有两种途径,一种是通过面部表情,另一种是通过语音。前者已经比较成熟,而语音识别情感方面的研究,正在快速发展。近期,...

    我被狗咬了

扫码关注云+社区

领取腾讯云代金券