DCSync - Groupe Account Operator - Active Directory Exploitation
Une DCSync Attack est une technique où un attaquant utilise les permissions d'un utilisateur pour simuler la réplication de l'annuaire Active Directory et obtenir les hachages de mots de passe des comptes, y compris les comptes administratifs. Le groupe Account Operators peut avoir les permissions nécessaires pour effectuer cette attaque, car il peut modifier les comptes d'utilisateurs et potentiellement accéder à des informations sensibles via la réplication.
Identification de l'appartenance à un groupe potentiellement problématique (Account Operator).
Utilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.
Ajout de l'utilisateur à un groupe avec des permissions plus élevées (Exchange Windows Permissions).
Exchange Windows Permissions).
Attaque WriteDACL:
Préparation de l'attaque WriteDACL en utilisant PowerView.ps1 pour ajouter une fonctionnalité.
Transférer le fichier
Vulnérabilité DCSync Attack:
Exécution de la commande Add-DomainObjectAcl pour obtenir les hashs.
Utilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.
Mis à jour
Ce contenu vous a-t-il été utile ?