DCsync Attack
Last updated
Last updated
Böyük təşkilatlarda hər domen üçün bir domen nəzarətçisinin olması kifayət deyil. Bu domenlər müxtəlif yerlərdə istifadə olunur və bir DC'in olması AD'də autentifikasiya xidmətlərini əhəmiyyətli dərəcədə gecikdirir. Buna görə də, təşkilatlar birdən çox DC'dən istifadə edir. Belə bir sual yarana bilər ki, iki fərqli ofisdə eyni etimadnamələrdən istifadə edərək autentifikasiya etmək necə mümkündür?
Bu sualın cavabı domen replikasiyasıdır. Hər bir domen nəzarətçisi Knowledge Consistency Checker (KCC) adlı bir proses idarə edir. KCC AD forest'i üçün replikasiya topologiyası yaradır və məlumatları sinxronlaşdırmaq üçün Remote Procedure Calls (RPC) vasitəsilə avtomatik olaraq digər domen nəzarətçiləri ilə əlaqə qurur. Bura istifadəçinin yeni parolu və yeni istifadəçinin yaradılması kimi məlumatlar daxildir. Buna görə parolunuzu dəyişdikdən sonra autentifikasiyadan əvvəl bir neçə dəqiqə gözləmək lazım olur, çünki parol dəyişikliyinin baş verdiyi DC, autentifikasiya etdiyiniz yerlə eyni olmaya bilər.
Bu replikasiya prosesi DC Sinxronizasiya adlanır. Replikasiyanı yalnız DC'lər yox, Domain Admins qruplarına aid olan hesablar da başlada bilər.bunu (yeni DC yaratmaq kimi qanuni məqsədlər üçün nəzərdə tutulub)
Bu cheatsheet'də populyar hücumlardan biri olan DC Sync hücumu haqqında yazacam. Domen replikasiyası icazələri olan hesaba girişimiz varsa, DC'dən etimadnamələri çəkmək üçün DC Sinxronizasiya hücumu həyata keçirilə bilər.
Bu hücum ilə etimadnamələri əldə etmək üçün Mimikatzın moldundan istifadə edə bilərik:
Praktiki nümayiş:
Buradan laba keçid edə bilərsiniz.
Spesifik bir istifadəçiyə qarşı DCSync hücumu həyata keçirmək üçün aşağıdakı əmrdən istifadə edirəm:
Hesabın cari NTLM hashı da daxil olmaqla kifayət qədər məlumat əldə edirik.
Bütün hesablara DCSync hücumu həyata keçirmək üçün Mimikaztda loglamanı aktivləşdiririk:
Aşağıdakı əmrdən istifadə edərək domendəki bütün istifadəçilərə DSSync hücumu həyata keçiririk və nəticə faylda saxlanır:
