在大型组织中,每个域有一个单一的域控制器是不够的。这些域通常在多个地区使用,拥有一个单一的DC会大大延迟AD中的任何认证服务。因此,这些组织利用了多个DC。那么问题来了,你怎么可能在两个不同的办公室使用相同的凭证进行认证?
这个问题的答案是域复制。每个域控制器都运行一个叫做知识一致性检查器(KCC)的程序。KCC为AD森林生成一个复制拓扑结构,并通过远程过程调用(RPC)自动连接到其他域控制器以同步信息。这包括更新的信息,如用户的新密码和新对象,如创建新用户时。这就是为什么你在修改密码后通常需要等待几分钟才能进行认证,因为发生密码修改的DC可能与你正在认证的DC不是同一个。
复制的过程被称为DC Sync。不仅仅是DC可以启动复制。诸如那些属于域管理员组的账户也可以出于合法的目的进行复制,比如创建一个新的域控制器。
一个流行的攻击方式是DC Sync攻击。如果我们能够访问一个具有域复制权限的账户,我们就可以进行域同步攻击,从一个域控制器中获取凭证。
不是所有的证书都是平等的
在我们进行 DC Sync 攻击时,我们需要注意的时,虽然我们的目标是获取 DC 管理组成员,但是一旦被发现,防守方就会修改密码,我们就可能会失去访问权。
因此我们的目标应该是接近特权的凭证,我们只需要保证凭借这些凭证我们可以实现目标执行即可。因此我们将重点位于:
- 电脑本地管理员权限凭证
- 有委托权限的服务账户 : 有了这些账户,我们就可以强制使用金票和银票来进行Kerberos委托攻击。
- 具有特权的服务账户: 如果我们破坏了诸如Exchange、Windows Server Update Services(WSUS)或System Center Configuration Manager(SCCM)等特权服务的账户,我们就可以利用AD的漏洞再次获得特权的立足点。
若有收获,就点个赞吧
0 人点赞
