国产精品99久久久久久人小-av在线免费观看小说-女同志一区二区你懂的在线-日韩一区二区三区精品丝袜

Internet Develppment
互聯(lián)網(wǎng)開發(fā)& 推廣服務(wù)提供商

我們擅長(zhǎng)商業(yè)策略與用戶體驗(yàn)的完美結(jié)合。

歡迎瀏覽我們的案例。

首頁(yè) > 新聞中心 > 新聞動(dòng)態(tài) > 正文

無(wú)需登錄域控服務(wù)器也能抓 HASH 的方法

發(fā)布時(shí)間:2022-03-15 08:43:07來(lái)源:信安之路

  Active Directory 幫助 IT 團(tuán)隊(duì)在整個(gè)網(wǎng)絡(luò)中集中管理系統(tǒng)、用戶、策略等。因?yàn)樗墙M織不可分割的一部分,所以這給攻擊者提供了機(jī)會(huì),利用 Active Directory 的功能來(lái)做一些惡意的操作。在這篇文章中,我們可以了解到 DCSync 的原理及檢測(cè)方法。

  關(guān)于 Active Directory 復(fù)制
  
  域控制器 (DC) 是 Active Directory (AD) 環(huán)境的核心。企業(yè)通常有多個(gè)域控制器作為 Active Directory 的備份,或者在每個(gè)區(qū)域都有不同的域控制器,方便本地身份驗(yàn)證和策略下發(fā)。
  
  由于組織中有多個(gè)域控制器,所以每一次域內(nèi)配置的更改,都要同步到其他域控制器。此更改需通過 Microsoft 目錄復(fù)制服務(wù)遠(yuǎn)程協(xié)議 (MS-DRSR)與每個(gè)域控制器同步. AD 使用多個(gè)計(jì)數(shù)器和表來(lái)確保每個(gè) DC 都具有全部屬性和對(duì)象的最新信息,并防止任何無(wú)休止的循環(huán)復(fù)制。
  
  AD 使用命名上下文 (NC)(也稱為目錄分區(qū))來(lái)分段復(fù)制。每個(gè)域林至少有三個(gè) NC:域 NC、配置 NC 和模式 NC。AD 還支持特殊的 NC,通常稱為應(yīng)用程序分區(qū)或非域命名上下文 (NDNC)。DNS 使用 NDNC(例如,DomainDnsZones、ForestDnsZones)。每個(gè) NC 或 NDNC 都相互獨(dú)立地復(fù)制。
  
  關(guān)于 DCSync 攻擊
  
  DCSync 是一種用于從域控制器中提取憑據(jù)的技術(shù)。在此我們模擬域控制器并利用 (MS-DRSR) 協(xié)議并使用 GetNCChanges 函數(shù)請(qǐng)求復(fù)制。作為對(duì)此的響應(yīng),域控制器將返回包含密碼哈希的復(fù)制數(shù)據(jù)。Benjamin Delpy 以及 Vincent Le Toux 于 2015 年 8 月在 Mimikatz 工具中添加了這項(xiàng)技術(shù)。
  
  要執(zhí)行 DCSync 攻擊,我們需要對(duì)域?qū)ο缶哂幸韵聶?quán)限:
  
  1)復(fù)制目錄更改(DS-Replication-Get-Changes)
  
  2)全部復(fù)制目錄更改 ( DS-Replication-Get-Changes-All )
  
  3)在過濾集中復(fù)制目錄更改(DS-Replication-Get-Changes-In-Filtered-Set)(不一定用,但是為了以防萬(wàn)一將其開啟)
  
  通常管理員、域管理員或企業(yè)管理員以及域控制器計(jì)算機(jī)賬戶的成員默認(rèn)具有上述權(quán)限:
  DCSync 攻擊場(chǎng)景
  
  我們將在這篇博文中查看 2 個(gè)場(chǎng)景(注意:您可以想到執(zhí)行 DCSync 攻擊的更多場(chǎng)景):
  
  1)假設(shè)我們已經(jīng)有了一個(gè)域管理員的賬號(hào)權(quán)限
  
  2)假設(shè)我們擁有對(duì)域有 WriteDACL 權(quán)限的用戶憑據(jù)
  
  1) 第一個(gè)場(chǎng)景
  
  假設(shè)我們已經(jīng)獲得了屬于 Domain Admins 組成員的用戶賬戶。在我們的實(shí)驗(yàn)室中,我們有一個(gè)名為 storagesvc 的用戶,它是 Domain Admins 組的成員,如下面的屏幕截圖所示。
  所以我們現(xiàn)在可以使用 Invoke-Mimikatz PowerShell 腳本執(zhí)行 OverPass-The-Hash 攻擊,并使用 storagesvc 用戶的權(quán)限啟動(dòng)一個(gè)新的 PowerShell 控制臺(tái):
  在 New PowerShell 控制臺(tái)中,我們可以加載 Invoke-Mimikatz PowerShell 腳本并執(zhí)行 DCSync 攻擊:
  正如我們?cè)谏厦娴钠聊唤貓D中看到的,我們能夠成功執(zhí)行 DCSync 攻擊并檢索 KRBTGT 賬戶哈希。
  
  2) 第二個(gè)場(chǎng)景
  
  假設(shè)我們已經(jīng)找到了對(duì)域?qū)ο缶哂?WriteDACL 權(quán)限的用戶的明文憑據(jù)。在我們的實(shí)驗(yàn)室中,我們有一個(gè)名為 sharepointmaster 的用戶,他對(duì)域?qū)ο缶哂?WriteDACL 權(quán)限,如下面的屏幕截圖所示。
  我們將利用 PowerView 腳本將 DCSync 權(quán)限授予我們擁有的另一個(gè)用戶(對(duì)手)。
  
  注意:- 我們也可以將 DCSync 權(quán)限授予 sharepointmaster 用戶。
  
  我們將枚舉并確認(rèn)對(duì)手用戶是否具有 DCSync 權(quán)限。
  正如我們?cè)谏厦娴钠聊唤貓D中看到的那樣,我們能夠成功地將 DCSync 權(quán)限授予對(duì)手用戶。
  
  現(xiàn)在,我們將加載 Invoke-Mimikatz PowerShell 腳本并執(zhí)行 DCSync 攻擊:
  正如我們?cè)谏厦娴钠聊唤貓D中看到的,我們能夠成功執(zhí)行 DCSync 攻擊并檢索 KRBTGT 賬戶哈希。注意:還有其他工具也可以執(zhí)行 DCSync 攻擊,例如 Impacket Library & DSInternals 等。
  
  檢測(cè)
  
  為了檢測(cè) OverPass-The-Hash 攻擊、基于 ACL 的攻擊和 DCSync 攻擊,我們需要在模擬攻擊之前在域控制器上啟用少量日志。在我們的實(shí)驗(yàn)中,我們已經(jīng)啟用了這些日志。但是您可以按照下面提到的步驟在您的環(huán)境中啟用日志。
  
  我們還在實(shí)驗(yàn)室中部署了 Sysmon 以進(jìn)行額外的日志記錄。您還可以在您的環(huán)境中使用 Sysmon 模塊化配置部署:
  
  要捕獲登錄事件,我們需要啟用“審核登錄”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開組策略管理控制臺(tái)
  
  展開域?qū)ο?/div>
  
  展開組策略對(duì)象
  
  右鍵單擊默認(rèn)域策略并單擊編輯(應(yīng)用于所有域計(jì)算機(jī)的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計(jì)算機(jī)配置 --> Windows 設(shè)置 --> 安全設(shè)置 --> 高級(jí)審核策略配置 --> 審核策略 --> 登錄/注銷 --> 審核登錄
  
  選擇“配置以下審計(jì)事件:”復(fù)選框
  
  選擇成功和失敗復(fù)選框
  
  要捕獲目錄服務(wù)訪問事件,我們需要啟用“審核目錄服務(wù)訪問”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開組策略管理控制臺(tái)
  
  展開域?qū)ο?/div>
  
  展開組策略對(duì)象
  
  右鍵單擊默認(rèn)域策略并單擊編輯(應(yīng)用于所有域計(jì)算機(jī)的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計(jì)算機(jī)配置 --> Windows 設(shè)置 --> 安全設(shè)置 --> 高級(jí)審計(jì)策略配置 --> 審計(jì)策略 --> DS 訪問 --> 審計(jì)目錄服務(wù)訪問
  
  選擇“配置以下審計(jì)事件:”、“成功”和“失敗”復(fù)選框
  
  要捕獲目錄服務(wù)更改事件,我們需要啟用“審核目錄服務(wù)更改”日志。按照以下步驟啟用日志。
  
  登錄域控制器
  
  打開組策略管理控制臺(tái)
  
  展開域?qū)ο?/div>
  
  展開組策略對(duì)象
  
  右鍵單擊默認(rèn)域策略并單擊編輯(應(yīng)用于所有域計(jì)算機(jī)的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計(jì)算機(jī)配置 --> Windows 設(shè)置 --> 安全設(shè)置 --> 高級(jí)審核策略配置 --> 審核策略 --> DS 訪問 --> 審核目錄服務(wù)更改
  
  選擇“配置以下審計(jì)事件:”、“成功”和“失敗”復(fù)選框
  
  在我們的實(shí)驗(yàn)室中,我們使用HELK設(shè)置來(lái)解析和查詢?nèi)罩?,并使用winlogbeat將日志從各個(gè)系統(tǒng)推送到HELK實(shí)例。
  
  檢測(cè) OverPass-The-Hash
  
  現(xiàn)在讓我們運(yùn)行以下查詢來(lái)檢測(cè)在執(zhí)行 OverPass-The-Hash 攻擊時(shí)生成的登錄事件。
  
  event_id :4624
  
  logon_type :9
  
  logon_process_name :seclogo
  
  在上述查詢中,我們可以搜索包含 logon_type 9 和 logon_process_name seclogo 的事件 ID 4624 日志。
  
  事件 ID 4624 - 創(chuàng)建登錄會(huì)話時(shí)生成此事件。
  
  登錄類型 9 - 調(diào)用者克隆了其當(dāng)前令牌并為出站連接指定了新憑據(jù)。新的登錄會(huì)話具有相同的本地身份,但對(duì)其他網(wǎng)絡(luò)連接使用不同的憑據(jù)。當(dāng)我們執(zhí)行 OverPass-The-Hash 攻擊時(shí),登錄類型為 9。
  
  登錄進(jìn)程 - 用于登錄的可信登錄進(jìn)程的名稱。當(dāng)我們執(zhí)行 OverPass-The-Hash 攻擊時(shí),一個(gè)名為“seclogo”的登錄進(jìn)程。
  在執(zhí)行 OverPass-The-Hash 攻擊時(shí),Mimikatz 嘗試訪問 LSASS 進(jìn)程。運(yùn)行以下查詢以檢測(cè)是否以某些特權(quán)訪問 LSASS 進(jìn)程,這些特權(quán)在機(jī)器上運(yùn)行 Mimikatz 以提取憑據(jù)或執(zhí)行 OverPass-The-Hash 攻擊時(shí)很常見。
  
  host_name :“oil-attacker.oil.crude.corp”
  
  event_id :10
  
  process_granted_access_orig :(“ 0x1010”或“0x1038” )
  
  在上述查詢中,我們?cè)?ldquo;oil-attacker”機(jī)器上搜索事件 ID 10 日志,該機(jī)器已授予對(duì) LSASS 進(jìn)程的特定訪問權(quán)限。我們可以在這里查找特定進(jìn)程的訪問權(quán)限:
  
  這種攻擊也可以通過 ATA 檢測(cè)為“異常協(xié)議實(shí)現(xiàn)”
  
  檢測(cè) DCSync
  
  我們可以運(yùn)行以下查詢來(lái)確定是否執(zhí)行了 DCSync 攻擊。
  
  event_id : 4662
  
  log_name : "Security"
  
  object_properties : ( "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2"或"1131f6ad-9c07-11d1-f79f-00c04fc2dcd2"或"89e95b76-444d-4c62-9901a ) -
  
  上述查詢中提到的 GUID 是執(zhí)行 DCSync 攻擊所需的 Replication 權(quán)限的 GUID。
  
  我們還可以利用網(wǎng)絡(luò)流量來(lái)檢測(cè) DCSync 攻擊。需要在域控制器上安裝一個(gè)工具 DCSYNCMonitor 來(lái)監(jiān)控網(wǎng)絡(luò)流量:
  
  當(dāng)通過網(wǎng)絡(luò)執(zhí)行任何復(fù)制時(shí),此工具會(huì)觸發(fā)警報(bào)。當(dāng)真正的域控制器請(qǐng)求復(fù)制時(shí),這可能會(huì)觸發(fā)誤報(bào)警報(bào)。因此,建議使用 DCSYNCMonitor 工具和配置文件,我們?cè)谄渲兄付ňW(wǎng)絡(luò)中域控制器的 IP 地址,以避免誤報(bào)警報(bào)。
  
  我們可以運(yùn)行以下查詢來(lái)識(shí)別由 DCSYNCMonitor 工具觸發(fā)的警報(bào):
  
  event_id :1
  
  source_name :“DCSYNCALERT”
  
  在上面的屏幕截圖中,我們可以看到 IP: 172.16.1.2 地址的誤報(bào)警報(bào),因?yàn)樗钦鎸?shí)的域控制器。這是為了在使用 DCSYNCMonitor工具時(shí)突出配置文件的重要性。
  
  這種攻擊也可以通過 ATA 檢測(cè)為“目錄服務(wù)的惡意復(fù)制”。
  
  檢測(cè) ACL 修改
  
  我們可以運(yùn)行以下查詢來(lái)識(shí)別我們授予對(duì)手用戶 DCSync 權(quán)限的 ACL 修改。
  
  event_id :5136
  
  log_name :“Security”
  
  dsobject_class :“domainDNS”
  
  修改 ACL 時(shí)會(huì)生成多個(gè)事件。
  
  事件日志計(jì)數(shù)將始終為偶數(shù),因?yàn)閱蝹€(gè) ACL 修改始終有 2 個(gè)事件。同樣可以通過使用“相關(guān) ID”過濾來(lái)驗(yàn)證。一個(gè)事件是“Value Deleted”(ACL 刪除/刪除),第二個(gè)事件是“Value Added”(ACL 添加/修改)。
  
  我們還可以使用 PowerShell 命令:“ConvertFrom-SddlString”轉(zhuǎn)換“nTSecurityDescriptor”值,以獲取有關(guān)所做更改的更多詳細(xì)信息。
  
  注意:- 此命令無(wú)法檢索 DCSync 權(quán)限的值,我們將始終將值視為“WriteAttributes”,我們需要從加入域的機(jī)器上運(yùn)行此命令。
  
  建議
  
  建議定期審核有風(fēng)險(xiǎn)的基于 ACL 的錯(cuò)誤配置,因?yàn)檫@可能會(huì)導(dǎo)致整個(gè)域環(huán)境受到損害。
  (邯鄲微信托管

? 2018 河北碼上網(wǎng)絡(luò)科技有限公司 版權(quán)所有 冀ICP備18021892號(hào)-1   
? 2018 河北碼上科技有限公司 版權(quán)所有.
  • 聯(lián)系電話
    手機(jī)18931099002
  • 官方微信
  • 返回頂部
欧美日韩久久一区二区三区| 藏经阁91福利私人试看| 啊灬啊别停灬用力啊男男在线观看| 精品美女久久久久久嘘嘘| 美女肏肏逼应用下载| 少妇勾搭外卖员在线观看| 视频一区视频二区制服丝袜| 你懂的在线中文字幕一区| 一色道久久88加勒比一| 中文字幕亚洲欧美精品一区二区| 亚洲日韩不卡一区二区三区| 日韩精品一区av在线| 色噜噜在线一区二区三区| 中日韩国内精品视频| 三级片手机在线视频| 99国产精品一区二区| 99热这里只有精品98| 骚逼毛茸茸乱伦视频| 国产成人AV一区二区在线观看| 亚洲国产区男人本色| 国产精品一区二区日本欧美| 精品久久久久五月婷五月| 亚洲午夜av一区二区三区| 极品一区二区三区av| 无码毛片一区二区本码视频| 泡芙啪啪啪黄色污污| 男生狂操女生污视频| 亚洲一区二区三区日本在线| 女生小穴色色视频| 熟女大屁股亚洲一区| 97超级免费视频在线观看| 大黑屌日本另类肛交| 操国产骚逼逼逼逼逼逼逼| 美女被插b在线观看| 男的鸡巴插女的视频| 美女操逼视频app| 精品免费在线观看等| 无码毛片一区二区本码视频| 交换夫妇4中文字幕| 日韩 欧美 成人 免费| 欧美日本大白屁股大黑逼操逼视频|