Explotación DCSync
Este tipo de permisos consiste en lo siguiente...
Si nosotros por ejemplo tenemos mas de un DC en la empresa y uno se cae por algun motivo tendremos otro que respalde a ese primer DC en cual podremos comunicarnos con el desde otro DC distinto sin necesidad de estar dentro de el y esto Microsoft nos proporciona un protocolo en especifico que nos permite este tipo de comunicacion desde un DC a otro, entonces este ataque DCSync va precisamente de esto aprovechar esto privilegios en concreto para hacer peticiones como si fuesemos otro DC y que el DC original nos mande informacion sobre todo relativa a los usuarios que tiene en esa base de datos NTDS.dir
Este tipo de informacion no se podra obtener con las tecnicas de recopilacion de informacion como un usuario normal, pero si, si tenemos el permiso del DCSync.
Por lo que en BloodHound vamos a buscar por la siguiente Query:
Y veremos algo asi:
Si seleccionamos por ejemplo el usuario Angelika vemos que tiene una linea llamada DCSync la cual si le damos a su help veremos lo siguiente:
Tenemos los privilegios del permiso GetChargues que es el necesario para poder realizar un ataque de DCSync y en la parte de Windows Abuse te pone que comandos a seguir para realizar este ataque.
Como vemos angelika no tiene privilegios de ningun tipo, pero por tener permiso a este DCSync podremos explotarlo de la siguiente forma:
Identificación de permiso DCSync por BloodHound
DCSync por BloodHoundPero antes de realizarlo, podremos identificar de la misma forma que lo hacemos con BloodHound en PowerView los ususarios que tienen este permiso de DCSync.
Abrimos un PowerShell en el equipo del empleado1:
Info:
Y con esto podremos ver quienes tiene ese permiso de DCSync para poder realizar este tipo de ataques.
Por lo que vamos a realizar este ataque con el usuario Angelika vamos a suponer que hemos comprometido al dicho usuario, por lo que vamos desde el DC a resetear la contraseña de Angelika poniendola una contraseña Passw0rd6.
Realización de técnica mediante Mimikatz
MimikatzVamos hacerlo con una herramienta muy famosa llamada mimikatz aunque tambien muy detectada por herramientas de seguridad, por lo que no es muy recomendable, pero para ver diferentes forma veremos la de con la herramienta mimikatz.
Vamos a cerrar sesion en el equipo y nos vamos a logear directamente con Angelika para tener un entorno grafico y asi que no sea tan tedioso el echo de pasarnos el binario, etc...
Por lo que cerraremos sesion -> abajo a la izquierda le daremos a Otro usuario -> pondremos lo siguiente:
Le damos a ENTER y nos habra iniciado sesion en el dominio del DC01 con dicho usuario que esta creado ya en el dominio.
Una vez que estemos dentro tendremos que pasarnos el binario de mimikatz al escritorio.
Nos iremos a nuestro kali para descargarnos mimikatz desde kali y pasarnoslo al equipo de Windows.
En el Firefox de kali buscaremos el siguiente repositorio que dejare el link:
URL = Mimikatz GitHub Windows EXE
Nos descargaremos el llamado mimikatz_trunk.zip la descomprimimos y nos metemos dentro de ella, nos iremos a mimikatz_trunk/x64/ dentro de esta ruta veremos el ejecutable llamado mimikatz.exe el cual nos tendremos que pasar al equipo de Windows.
Vamos abrir un servidor de python3 en esa ruta para pasarnos el binario a la otra maquina de la siguiente forma:
Kali Linux
Windows
Si nosotros ejecutamos eso lo que va a pasar es que nos lo va a detectar el Windows Defender y nos lo va a eliminar automaticamente.
Mas adelante veremos a como evadir todas estas medidas de seguridad para que no nos lo detecte ninguna herramienta de seguridad, pero como en este caso no toca ver eso todavia, desactivaremos el Windows Defender solamente para ver como seria hacerlo con la herramienta mimikatz.exe.
Una vez que hayamos desactivado el Tiempo real del Windows Defender:
Podremos volver a ejecutar el comando sin problemas y esto nos lo descargara.
Dumpeo de hashes NTLM mediante el permiso DCSync con Mimikatz
DCSync con MimikatzPor lo que todo por PowerShell vamos a ejecutar mimikatz:
Info:
Por lo que vamos hacer lo siguiente para explotar este permiso de DCSync haciendo esto para sacarle informacion del usuario Administrador:
Info:
Por lo que vemos hemos sido capaces de volcar el hash NTLM del usuario Administrador.
Y con esto podriamos volcar todos los hashes de todos los usuarios que queramos.
Pero nosotros podremos ejecutar esto mismo de forma remota desde nuestro kali utilizando la herramienta impaket de la siguiente forma:
Info:
Y con esto nos habria volcado todos los hashesde todos los usuarios del dominio, en concreto el que nos interesa el del Administrador:
Teniendo un hash NTLM en este caso el de Administrador podremos porbar a crackearlo en nuestro kali de la siguiente forma:
Info:
Y vemos que nos crackeo la contraseña correctamente, por lo que tenia una contraseña debil.
Last updated