前言
DCShadow是一种利用了合法协议来修改活动目录中数据的权限维持手段。它的作用通过LDAP协议接口也可以实现,但是DCShadow会更加隐蔽一点。
正文
其攻击步骤如下:
-
获得高权限账户(比如域管理员或企业管理员)。
-
在计算机账户上设置SPN。
-
创建一个 NTDS-DSA对象。
-
通过保存复制的SPN来验证上下文,将环境模拟为计算机账户。
-
启动相应的RPC服务。
-
在模拟环境中调用
DrsReplicaAdd强制执行域复制,使得指定的新对象或修改后的属性能够同步进入其他的DC中。
-
使用恶意的AD对象创建和隐藏后门。
安装环境:
一台WINDOWS 2008
一台WINDOWS 7
安装服务
下一步
创建
自定义
配置IP
关闭防火墙
配置WIN7
创建用户
把WIN7加入域
打开windows 7右键管理员权限打开两个CMD窗口
一个直接指定mimikatz
一个登录域管账户
通过DCShadow更改描述
/object后的四个属性,指CN=域用户名,CN=Users组,DC=域前缀,DC=域后缀
执行lsadump::dcshadow /push
查看结果
对于DCShadow,不像其他手段一样,有明显的记录,所以只能针对这样的目录服务访问进行注意,如果有一段时间有异常的目录服务访问,需要加以甄别。
参考:星期五实验室
原文始发于微信公众号(Th0r安全):DCShadow以及对应不足的检测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论