丝袜美腿美女被狂躁动态图片|麻豆视频免费在线观看|欧美日韩精品一区二区|天天爽亚洲中文字幕|久久久久九九精品影院|久久一区二区三区四区|人妻内射一区二区在线视频

丝袜美腿美女被狂躁动态图片|麻豆视频免费在线观看|欧美日韩精品一区二区|天天爽亚洲中文字幕|久久久久九九精品影院|久久一区二区三区四区|人妻内射一区二区在线视频

Internet Develppment
互聯(lián)網(wǎng)開(kāi)發(fā)& 推廣服務(wù)提供商

我們擅長(cháng)商業(yè)策略與用戶(hù)體驗的完美結合。

歡迎瀏覽我們的案例。

首頁(yè) > 新聞中心 > 新聞動(dòng)態(tài) > 正文

無(wú)需登錄域控服務(wù)器也能抓 HASH 的方法

發(fā)布時(shí)間:2022-03-15 08:43:07來(lái)源:信安之路

  Active Directory 幫助 IT 團隊在整個(gè)網(wǎng)絡(luò )中集中管理系統、用戶(hù)、策略等。因為它是組織不可分割的一部分,所以這給攻擊者提供了機會(huì ),利用 Active Directory 的功能來(lái)做一些惡意的操作。在這篇文章中,我們可以了解到 DCSync 的原理及檢測方法。

  關(guān)于 Active Directory 復制
  
  域控制器 (DC) 是 Active Directory (AD) 環(huán)境的核心。企業(yè)通常有多個(gè)域控制器作為 Active Directory 的備份,或者在每個(gè)區域都有不同的域控制器,方便本地身份驗證和策略下發(fā)。
  
  由于組織中有多個(gè)域控制器,所以每一次域內配置的更改,都要同步到其他域控制器。此更改需通過(guò) Microsoft 目錄復制服務(wù)遠程協(xié)議 (MS-DRSR)與每個(gè)域控制器同步. AD 使用多個(gè)計數器和表來(lái)確保每個(gè) DC 都具有全部屬性和對象的最新信息,并防止任何無(wú)休止的循環(huán)復制。
  
  AD 使用命名上下文 (NC)(也稱(chēng)為目錄分區)來(lái)分段復制。每個(gè)域林至少有三個(gè) NC:域 NC、配置 NC 和模式 NC。AD 還支持特殊的 NC,通常稱(chēng)為應用程序分區或非域命名上下文 (NDNC)。DNS 使用 NDNC(例如,DomainDnsZones、ForestDnsZones)。每個(gè) NC 或 NDNC 都相互獨立地復制。
  
  關(guān)于 DCSync 攻擊
  
  DCSync 是一種用于從域控制器中提取憑據的技術(shù)。在此我們模擬域控制器并利用 (MS-DRSR) 協(xié)議并使用 GetNCChanges 函數請求復制。作為對此的響應,域控制器將返回包含密碼哈希的復制數據。Benjamin Delpy 以及 Vincent Le Toux 于 2015 年 8 月在 Mimikatz 工具中添加了這項技術(shù)。
  
  要執行 DCSync 攻擊,我們需要對域對象具有以下權限:
  
  1)復制目錄更改(DS-Replication-Get-Changes)
  
  2)全部復制目錄更改 ( DS-Replication-Get-Changes-All )
  
  3)在過(guò)濾集中復制目錄更改(DS-Replication-Get-Changes-In-Filtered-Set)(不一定用,但是為了以防萬(wàn)一將其開(kāi)啟)
  
  通常管理員、域管理員或企業(yè)管理員以及域控制器計算機賬戶(hù)的成員默認具有上述權限:
  DCSync 攻擊場(chǎng)景
  
  我們將在這篇博文中查看 2 個(gè)場(chǎng)景(注意:您可以想到執行 DCSync 攻擊的更多場(chǎng)景):
  
  1)假設我們已經(jīng)有了一個(gè)域管理員的賬號權限
  
  2)假設我們擁有對域有 WriteDACL 權限的用戶(hù)憑據
  
  1) 第一個(gè)場(chǎng)景
  
  假設我們已經(jīng)獲得了屬于 Domain Admins 組成員的用戶(hù)賬戶(hù)。在我們的實(shí)驗室中,我們有一個(gè)名為 storagesvc 的用戶(hù),它是 Domain Admins 組的成員,如下面的屏幕截圖所示。
  所以我們現在可以使用 Invoke-Mimikatz PowerShell 腳本執行 OverPass-The-Hash 攻擊,并使用 storagesvc 用戶(hù)的權限啟動(dòng)一個(gè)新的 PowerShell 控制臺:
  在 New PowerShell 控制臺中,我們可以加載 Invoke-Mimikatz PowerShell 腳本并執行 DCSync 攻擊:
  正如我們在上面的屏幕截圖中看到的,我們能夠成功執行 DCSync 攻擊并檢索 KRBTGT 賬戶(hù)哈希。
  
  2) 第二個(gè)場(chǎng)景
  
  假設我們已經(jīng)找到了對域對象具有 WriteDACL 權限的用戶(hù)的明文憑據。在我們的實(shí)驗室中,我們有一個(gè)名為 sharepointmaster 的用戶(hù),他對域對象具有 WriteDACL 權限,如下面的屏幕截圖所示。
  我們將利用 PowerView 腳本將 DCSync 權限授予我們擁有的另一個(gè)用戶(hù)(對手)。
  
  注意:- 我們也可以將 DCSync 權限授予 sharepointmaster 用戶(hù)。
  
  我們將枚舉并確認對手用戶(hù)是否具有 DCSync 權限。
  正如我們在上面的屏幕截圖中看到的那樣,我們能夠成功地將 DCSync 權限授予對手用戶(hù)。
  
  現在,我們將加載 Invoke-Mimikatz PowerShell 腳本并執行 DCSync 攻擊:
  正如我們在上面的屏幕截圖中看到的,我們能夠成功執行 DCSync 攻擊并檢索 KRBTGT 賬戶(hù)哈希。注意:還有其他工具也可以執行 DCSync 攻擊,例如 Impacket Library & DSInternals 等。
  
  檢測
  
  為了檢測 OverPass-The-Hash 攻擊、基于 ACL 的攻擊和 DCSync 攻擊,我們需要在模擬攻擊之前在域控制器上啟用少量日志。在我們的實(shí)驗中,我們已經(jīng)啟用了這些日志。但是您可以按照下面提到的步驟在您的環(huán)境中啟用日志。
  
  我們還在實(shí)驗室中部署了 Sysmon 以進(jìn)行額外的日志記錄。您還可以在您的環(huán)境中使用 Sysmon 模塊化配置部署:
  
  要捕獲登錄事件,我們需要啟用“審核登錄”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審核策略配置 --> 審核策略 --> 登錄/注銷(xiāo) --> 審核登錄
  
  選擇“配置以下審計事件:”復選框
  
  選擇成功和失敗復選框
  
  要捕獲目錄服務(wù)訪(fǎng)問(wèn)事件,我們需要啟用“審核目錄服務(wù)訪(fǎng)問(wèn)”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審計策略配置 --> 審計策略 --> DS 訪(fǎng)問(wèn) --> 審計目錄服務(wù)訪(fǎng)問(wèn)
  
  選擇“配置以下審計事件:”、“成功”和“失敗”復選框
  
  要捕獲目錄服務(wù)更改事件,我們需要啟用“審核目錄服務(wù)更改”日志。按照以下步驟啟用日志。
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審核策略配置 --> 審核策略 --> DS 訪(fǎng)問(wèn) --> 審核目錄服務(wù)更改
  
  選擇“配置以下審計事件:”、“成功”和“失敗”復選框
  
  在我們的實(shí)驗室中,我們使用HELK設置來(lái)解析和查詢(xún)日志,并使用winlogbeat將日志從各個(gè)系統推送到HELK實(shí)例。
  
  檢測 OverPass-The-Hash
  
  現在讓我們運行以下查詢(xún)來(lái)檢測在執行 OverPass-The-Hash 攻擊時(shí)生成的登錄事件。
  
  event_id :4624
  
  logon_type :9
  
  logon_process_name :seclogo
  
  在上述查詢(xún)中,我們可以搜索包含 logon_type 9 和 logon_process_name seclogo 的事件 ID 4624 日志。
  
  事件 ID 4624 - 創(chuàng )建登錄會(huì )話(huà)時(shí)生成此事件。
  
  登錄類(lèi)型 9 - 調用者克隆了其當前令牌并為出站連接指定了新憑據。新的登錄會(huì )話(huà)具有相同的本地身份,但對其他網(wǎng)絡(luò )連接使用不同的憑據。當我們執行 OverPass-The-Hash 攻擊時(shí),登錄類(lèi)型為 9。
  
  登錄進(jìn)程 - 用于登錄的可信登錄進(jìn)程的名稱(chēng)。當我們執行 OverPass-The-Hash 攻擊時(shí),一個(gè)名為“seclogo”的登錄進(jìn)程。
  在執行 OverPass-The-Hash 攻擊時(shí),Mimikatz 嘗試訪(fǎng)問(wèn) LSASS 進(jìn)程。運行以下查詢(xún)以檢測是否以某些特權訪(fǎng)問(wèn) LSASS 進(jìn)程,這些特權在機器上運行 Mimikatz 以提取憑據或執行 OverPass-The-Hash 攻擊時(shí)很常見(jiàn)。
  
  host_name :“oil-attacker.oil.crude.corp”
  
  event_id :10
  
  process_granted_access_orig :(“ 0x1010”或“0x1038” )
  
  在上述查詢(xún)中,我們在“oil-attacker”機器上搜索事件 ID 10 日志,該機器已授予對 LSASS 進(jìn)程的特定訪(fǎng)問(wèn)權限。我們可以在這里查找特定進(jìn)程的訪(fǎng)問(wèn)權限:
  
  這種攻擊也可以通過(guò) ATA 檢測為“異常協(xié)議實(shí)現”
  
  檢測 DCSync
  
  我們可以運行以下查詢(xún)來(lái)確定是否執行了 DCSync 攻擊。
  
  event_id : 4662
  
  log_name : "Security"
  
  object_properties : ( "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2"或"1131f6ad-9c07-11d1-f79f-00c04fc2dcd2"或"89e95b76-444d-4c62-9901a ) -
  
  上述查詢(xún)中提到的 GUID 是執行 DCSync 攻擊所需的 Replication 權限的 GUID。
  
  我們還可以利用網(wǎng)絡(luò )流量來(lái)檢測 DCSync 攻擊。需要在域控制器上安裝一個(gè)工具 DCSYNCMonitor 來(lái)監控網(wǎng)絡(luò )流量:
  
  當通過(guò)網(wǎng)絡(luò )執行任何復制時(shí),此工具會(huì )觸發(fā)警報。當真正的域控制器請求復制時(shí),這可能會(huì )觸發(fā)誤報警報。因此,建議使用 DCSYNCMonitor 工具和配置文件,我們在其中指定網(wǎng)絡(luò )中域控制器的 IP 地址,以避免誤報警報。
  
  我們可以運行以下查詢(xún)來(lái)識別由 DCSYNCMonitor 工具觸發(fā)的警報:
  
  event_id :1
  
  source_name :“DCSYNCALERT”
  
  在上面的屏幕截圖中,我們可以看到 IP: 172.16.1.2 地址的誤報警報,因為它是真實(shí)的域控制器。這是為了在使用 DCSYNCMonitor工具時(shí)突出配置文件的重要性。
  
  這種攻擊也可以通過(guò) ATA 檢測為“目錄服務(wù)的惡意復制”。
  
  檢測 ACL 修改
  
  我們可以運行以下查詢(xún)來(lái)識別我們授予對手用戶(hù) DCSync 權限的 ACL 修改。
  
  event_id :5136
  
  log_name :“Security”
  
  dsobject_class :“domainDNS”
  
  修改 ACL 時(shí)會(huì )生成多個(gè)事件。
  
  事件日志計數將始終為偶數,因為單個(gè) ACL 修改始終有 2 個(gè)事件。同樣可以通過(guò)使用“相關(guān) ID”過(guò)濾來(lái)驗證。一個(gè)事件是“Value Deleted”(ACL 刪除/刪除),第二個(gè)事件是“Value Added”(ACL 添加/修改)。
  
  我們還可以使用 PowerShell 命令:“ConvertFrom-SddlString”轉換“nTSecurityDescriptor”值,以獲取有關(guān)所做更改的更多詳細信息。
  
  注意:- 此命令無(wú)法檢索 DCSync 權限的值,我們將始終將值視為“WriteAttributes”,我們需要從加入域的機器上運行此命令。
  
  建議
  
  建議定期審核有風(fēng)險的基于 ACL 的錯誤配置,因為這可能會(huì )導致整個(gè)域環(huán)境受到損害。
 ?。?a href="http://www.reeanfmc.com/wechat/">邯鄲微信托管)

最新資訊
? 2018 河北碼上網(wǎng)絡(luò )科技有限公司 版權所有 冀ICP備18021892號-1   
? 2018 河北碼上科技有限公司 版權所有.
中文字幕精品—区二区| 最新加勒比人妻无码| 中文字幕原千岁在线播放| 国产码欧美日韩高清综合一区| 国产成人三级一区二区在线| 亚洲中文字幕一二区精品自拍| 无码人妻精品一区二区| 天天做天天爱天天爽综合网| 欧美日韩一区二区三区,你懂的| 久久久久人妻一区视色| 伊人久久久久大香线蕉| 亚洲国产av玩弄放荡人妇| 在线看片国内自拍视频| 精品日韩国产在线| 免费高清激情久久中文字幕| 亚洲产国偷v产偷v自拍色戒| 欧美午夜免费在线激情精品一区二| 亚洲日韩国产精品无码av| 高H喷汁呻吟多P公交车视频| 亚洲bt欧美bt日本bt| 在线中文字幕aⅴ性爱| 久久久精品一区| 中文字幕视频在线观看| 久久天天躁狠狠躁夜夜97| 国产成人精品午夜视频免费| 亚洲欧美成人av| 日本不卡一区二区三区| 88久久精品无码一区二区毛片| 国产人妻无码区免费九色| 九九在线视频| 国产熟女AA级毛片| 亚洲欧美精品一区二区三区| 国产精品亚洲一区二区无码| 国内夫妻对白视频在线观看| 亚洲AV永久无码5G| 久久精品女同亚洲女同13| 香蕉人人超人人超碰超国产| 亚洲欧美v国产一区二区| 强H被cao哭高H春药| 亚洲精品美女高清图片小说| 一本大道之中文日本香蕉| 精品国产亚洲一区二区三区| 亚洲AV日韩AV无码A一区| 亚洲AV狼在线| 最刺激黄a大片免费观看下载| 国产亚洲成av人片在线奶水| 亚洲男人的天堂在线va拉文| 国产精品成人影院| 中文字幕亚洲精品码专区| 欧美午夜精品一区二区三区电影| 欧美一线高本道高清免费| 天天做夜夜做久久做狠狠| 亚洲aⅤ日韩aⅤ永久无码久久| 国产亚洲精品无码成人爱色| 国产呻吟久久久久久久92| 亚洲女下面毛多水多| 精品亚洲一区二区三区在线观看| 欧美三级在线播放| 精品国产一区二区三区不卡在线| 国产精品亚洲日韩第一页| 免费的毛片视频| 亚洲一区二区三区国产精华液| 国产片侵犯亲女视频播放| 国产高清无码暴力插入黄片| 麻豆视频在线观看免费| 国产精品乡下勾搭老头| 亚洲国产精品第一页| 国产精品看高国产精品不卡| 亚洲女人人体ass| 999.nba免费网站视频| 性久久久久久| 91在线国产精品区在线播放| 成人亚洲人妻少妇一片内射| 日韩成人免费一区二区三区| 国产欧美另类在线视频观看| 久久久久亚洲av?成人无码网站| 亚洲精品乱码久久久久久小说| 91制作天麻传媒网站| 少妇被大黑捧猛烈进出A片| av网站免费线看| 蜜臀av粉嫩av懂色av| 国产一二三区写真福利视频| 色综合中文综合网| 久久天天综合桃花久久| 亚洲一区无码中文字幕| 91偷拍与自偷拍亚州精品| 波多野结衣高清videossex| 欧美人与性口牲恔配视频| 亚洲国产成人久久精品影视| 亚洲熟女av一区二区三区| 国产av一区二区三区电影| 午夜精品久久久久久99热| 极品少妇被猛的白浆直喷白浆| 动漫美女胸被狂揉扒开吃奶无遮挡| 扒开粉嫩小泬舌头伸进去视频| 91久久精品一区二区三区| 成人无码在线视频网站| 人善交videos欧美3d| 大帝AV在线一区二区三区| 操你啦影院| 欧美胖熟妇一区二区三区| 校花两腿中间被同桌摸出水了动漫| 中文字幕亚洲人妻| 欧美视频中国日本欧美视频| 精品久久久久久久久久国产潘金莲| 国产亚洲精品久久久久久一区二区| 99精品国产高清一区二区三区| 中文字幕人妻一区二区| 国产精品久久久国产盗摄| 久久综合综合色88中文| 精品久久午夜无码一区二区| 又色又爽又黄的视频在线观看| 在线国内91中文字幕| 亚洲精品国产亚洲精品| 国模欢欢大尺度床戏啪啪| 亚洲日韩欧美每日在线| 日韩视频一区二区| chinasexsex高潮对白| 久久国产综合精品欧美精品| 亚洲av乱码国产精品色| 国产麻豆9l精品三级站| 欧美大片一级片在线观看| 亚洲日韩视频高清| 亚洲国产精品悠悠久久琪琪| 综合久久久久久98| 最新91地址中文字幕| 亚洲色精品88色婷婷七月丁香| 亚洲国产无套无码aV电影| 韩国三级hd中文字幕| 中文字幕乱码熟女免费| 成年男人裸j网站| 色欧美与xxxxx| 天堂中文最新版在线中文| 日韩无不卡无码毛片| 亚洲一区在线观看视频| 亚洲va中文字幕不卡无码| 久久久久久成人毛片免费看| 国产成人精品无码| 亚洲一区二区三区在线观看网站| 国产69精品久久久久9999| 偷拍美女洗澡一区二区三区| 免费浏览外国网站的软件下载| 久久久精品中文字幕综合| 在线日本国产成人免费不卡| 亚洲区视频在线观看| 中文字幕大看蕉在线观看| 亚洲成AV人片天堂网九九| 99久久精品二区| 夜夜未满十八勿进的爽爽影院| 国产在线观看www| 久久久久国产精品一区| 公务员娇妻吹潮| 亚洲精品一区二区三区蜜臀| 亚洲永久精品ww47àpp| 国产成人av网站网址免费| 日日鲁鲁鲁夜夜爽爽狠狠视频97| 日本一级淫片a级欧美| 亚洲国产精品高清在线| 亚洲日韩国产欧美综合另类| 波多野结衣激情精品啪啪| 欧美人与动牲交a精品| 无码在线欢看不卡| 国产成人夜色福利高潮一区二区| gogo人体GOGO西西大尺度高清|