亚洲欧美制服先锋,又湿又紧又大又爽A视频男,精品无码AV一区二区三区,一区二区三区日韩在线观看,亚洲香蕉AV在线一区二区三区

亚洲欧美制服先锋,又湿又紧又大又爽A视频男,精品无码AV一区二区三区,一区二区三区日韩在线观看,亚洲香蕉AV在线一区二区三区

Internet Develppment
互聯(lián)網(wǎng)開(kāi)發(fā)& 推廣服務(wù)提供商

我們擅長(cháng)商業(yè)策略與用戶(hù)體驗的完美結合。

歡迎瀏覽我們的案例。

首頁(yè) > 新聞中心 > 新聞動(dòng)態(tài) > 正文

無(wú)需登錄域控服務(wù)器也能抓 HASH 的方法

發(fā)布時(shí)間:2022-03-15 08:43:07來(lái)源:信安之路

  Active Directory 幫助 IT 團隊在整個(gè)網(wǎng)絡(luò )中集中管理系統、用戶(hù)、策略等。因為它是組織不可分割的一部分,所以這給攻擊者提供了機會(huì ),利用 Active Directory 的功能來(lái)做一些惡意的操作。在這篇文章中,我們可以了解到 DCSync 的原理及檢測方法。

  關(guān)于 Active Directory 復制
  
  域控制器 (DC) 是 Active Directory (AD) 環(huán)境的核心。企業(yè)通常有多個(gè)域控制器作為 Active Directory 的備份,或者在每個(gè)區域都有不同的域控制器,方便本地身份驗證和策略下發(fā)。
  
  由于組織中有多個(gè)域控制器,所以每一次域內配置的更改,都要同步到其他域控制器。此更改需通過(guò) Microsoft 目錄復制服務(wù)遠程協(xié)議 (MS-DRSR)與每個(gè)域控制器同步. AD 使用多個(gè)計數器和表來(lái)確保每個(gè) DC 都具有全部屬性和對象的最新信息,并防止任何無(wú)休止的循環(huán)復制。
  
  AD 使用命名上下文 (NC)(也稱(chēng)為目錄分區)來(lái)分段復制。每個(gè)域林至少有三個(gè) NC:域 NC、配置 NC 和模式 NC。AD 還支持特殊的 NC,通常稱(chēng)為應用程序分區或非域命名上下文 (NDNC)。DNS 使用 NDNC(例如,DomainDnsZones、ForestDnsZones)。每個(gè) NC 或 NDNC 都相互獨立地復制。
  
  關(guān)于 DCSync 攻擊
  
  DCSync 是一種用于從域控制器中提取憑據的技術(shù)。在此我們模擬域控制器并利用 (MS-DRSR) 協(xié)議并使用 GetNCChanges 函數請求復制。作為對此的響應,域控制器將返回包含密碼哈希的復制數據。Benjamin Delpy 以及 Vincent Le Toux 于 2015 年 8 月在 Mimikatz 工具中添加了這項技術(shù)。
  
  要執行 DCSync 攻擊,我們需要對域對象具有以下權限:
  
  1)復制目錄更改(DS-Replication-Get-Changes)
  
  2)全部復制目錄更改 ( DS-Replication-Get-Changes-All )
  
  3)在過(guò)濾集中復制目錄更改(DS-Replication-Get-Changes-In-Filtered-Set)(不一定用,但是為了以防萬(wàn)一將其開(kāi)啟)
  
  通常管理員、域管理員或企業(yè)管理員以及域控制器計算機賬戶(hù)的成員默認具有上述權限:
  DCSync 攻擊場(chǎng)景
  
  我們將在這篇博文中查看 2 個(gè)場(chǎng)景(注意:您可以想到執行 DCSync 攻擊的更多場(chǎng)景):
  
  1)假設我們已經(jīng)有了一個(gè)域管理員的賬號權限
  
  2)假設我們擁有對域有 WriteDACL 權限的用戶(hù)憑據
  
  1) 第一個(gè)場(chǎng)景
  
  假設我們已經(jīng)獲得了屬于 Domain Admins 組成員的用戶(hù)賬戶(hù)。在我們的實(shí)驗室中,我們有一個(gè)名為 storagesvc 的用戶(hù),它是 Domain Admins 組的成員,如下面的屏幕截圖所示。
  所以我們現在可以使用 Invoke-Mimikatz PowerShell 腳本執行 OverPass-The-Hash 攻擊,并使用 storagesvc 用戶(hù)的權限啟動(dòng)一個(gè)新的 PowerShell 控制臺:
  在 New PowerShell 控制臺中,我們可以加載 Invoke-Mimikatz PowerShell 腳本并執行 DCSync 攻擊:
  正如我們在上面的屏幕截圖中看到的,我們能夠成功執行 DCSync 攻擊并檢索 KRBTGT 賬戶(hù)哈希。
  
  2) 第二個(gè)場(chǎng)景
  
  假設我們已經(jīng)找到了對域對象具有 WriteDACL 權限的用戶(hù)的明文憑據。在我們的實(shí)驗室中,我們有一個(gè)名為 sharepointmaster 的用戶(hù),他對域對象具有 WriteDACL 權限,如下面的屏幕截圖所示。
  我們將利用 PowerView 腳本將 DCSync 權限授予我們擁有的另一個(gè)用戶(hù)(對手)。
  
  注意:- 我們也可以將 DCSync 權限授予 sharepointmaster 用戶(hù)。
  
  我們將枚舉并確認對手用戶(hù)是否具有 DCSync 權限。
  正如我們在上面的屏幕截圖中看到的那樣,我們能夠成功地將 DCSync 權限授予對手用戶(hù)。
  
  現在,我們將加載 Invoke-Mimikatz PowerShell 腳本并執行 DCSync 攻擊:
  正如我們在上面的屏幕截圖中看到的,我們能夠成功執行 DCSync 攻擊并檢索 KRBTGT 賬戶(hù)哈希。注意:還有其他工具也可以執行 DCSync 攻擊,例如 Impacket Library & DSInternals 等。
  
  檢測
  
  為了檢測 OverPass-The-Hash 攻擊、基于 ACL 的攻擊和 DCSync 攻擊,我們需要在模擬攻擊之前在域控制器上啟用少量日志。在我們的實(shí)驗中,我們已經(jīng)啟用了這些日志。但是您可以按照下面提到的步驟在您的環(huán)境中啟用日志。
  
  我們還在實(shí)驗室中部署了 Sysmon 以進(jìn)行額外的日志記錄。您還可以在您的環(huán)境中使用 Sysmon 模塊化配置部署:
  
  要捕獲登錄事件,我們需要啟用“審核登錄”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審核策略配置 --> 審核策略 --> 登錄/注銷(xiāo) --> 審核登錄
  
  選擇“配置以下審計事件:”復選框
  
  選擇成功和失敗復選框
  
  要捕獲目錄服務(wù)訪(fǎng)問(wèn)事件,我們需要啟用“審核目錄服務(wù)訪(fǎng)問(wèn)”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審計策略配置 --> 審計策略 --> DS 訪(fǎng)問(wèn) --> 審計目錄服務(wù)訪(fǎng)問(wèn)
  
  選擇“配置以下審計事件:”、“成功”和“失敗”復選框
  
  要捕獲目錄服務(wù)更改事件,我們需要啟用“審核目錄服務(wù)更改”日志。按照以下步驟啟用日志。
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審核策略配置 --> 審核策略 --> DS 訪(fǎng)問(wèn) --> 審核目錄服務(wù)更改
  
  選擇“配置以下審計事件:”、“成功”和“失敗”復選框
  
  在我們的實(shí)驗室中,我們使用HELK設置來(lái)解析和查詢(xún)日志,并使用winlogbeat將日志從各個(gè)系統推送到HELK實(shí)例。
  
  檢測 OverPass-The-Hash
  
  現在讓我們運行以下查詢(xún)來(lái)檢測在執行 OverPass-The-Hash 攻擊時(shí)生成的登錄事件。
  
  event_id :4624
  
  logon_type :9
  
  logon_process_name :seclogo
  
  在上述查詢(xún)中,我們可以搜索包含 logon_type 9 和 logon_process_name seclogo 的事件 ID 4624 日志。
  
  事件 ID 4624 - 創(chuàng )建登錄會(huì )話(huà)時(shí)生成此事件。
  
  登錄類(lèi)型 9 - 調用者克隆了其當前令牌并為出站連接指定了新憑據。新的登錄會(huì )話(huà)具有相同的本地身份,但對其他網(wǎng)絡(luò )連接使用不同的憑據。當我們執行 OverPass-The-Hash 攻擊時(shí),登錄類(lèi)型為 9。
  
  登錄進(jìn)程 - 用于登錄的可信登錄進(jìn)程的名稱(chēng)。當我們執行 OverPass-The-Hash 攻擊時(shí),一個(gè)名為“seclogo”的登錄進(jìn)程。
  在執行 OverPass-The-Hash 攻擊時(shí),Mimikatz 嘗試訪(fǎng)問(wèn) LSASS 進(jìn)程。運行以下查詢(xún)以檢測是否以某些特權訪(fǎng)問(wèn) LSASS 進(jìn)程,這些特權在機器上運行 Mimikatz 以提取憑據或執行 OverPass-The-Hash 攻擊時(shí)很常見(jiàn)。
  
  host_name :“oil-attacker.oil.crude.corp”
  
  event_id :10
  
  process_granted_access_orig :(“ 0x1010”或“0x1038” )
  
  在上述查詢(xún)中,我們在“oil-attacker”機器上搜索事件 ID 10 日志,該機器已授予對 LSASS 進(jìn)程的特定訪(fǎng)問(wèn)權限。我們可以在這里查找特定進(jìn)程的訪(fǎng)問(wèn)權限:
  
  這種攻擊也可以通過(guò) ATA 檢測為“異常協(xié)議實(shí)現”
  
  檢測 DCSync
  
  我們可以運行以下查詢(xún)來(lái)確定是否執行了 DCSync 攻擊。
  
  event_id : 4662
  
  log_name : "Security"
  
  object_properties : ( "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2"或"1131f6ad-9c07-11d1-f79f-00c04fc2dcd2"或"89e95b76-444d-4c62-9901a ) -
  
  上述查詢(xún)中提到的 GUID 是執行 DCSync 攻擊所需的 Replication 權限的 GUID。
  
  我們還可以利用網(wǎng)絡(luò )流量來(lái)檢測 DCSync 攻擊。需要在域控制器上安裝一個(gè)工具 DCSYNCMonitor 來(lái)監控網(wǎng)絡(luò )流量:
  
  當通過(guò)網(wǎng)絡(luò )執行任何復制時(shí),此工具會(huì )觸發(fā)警報。當真正的域控制器請求復制時(shí),這可能會(huì )觸發(fā)誤報警報。因此,建議使用 DCSYNCMonitor 工具和配置文件,我們在其中指定網(wǎng)絡(luò )中域控制器的 IP 地址,以避免誤報警報。
  
  我們可以運行以下查詢(xún)來(lái)識別由 DCSYNCMonitor 工具觸發(fā)的警報:
  
  event_id :1
  
  source_name :“DCSYNCALERT”
  
  在上面的屏幕截圖中,我們可以看到 IP: 172.16.1.2 地址的誤報警報,因為它是真實(shí)的域控制器。這是為了在使用 DCSYNCMonitor工具時(shí)突出配置文件的重要性。
  
  這種攻擊也可以通過(guò) ATA 檢測為“目錄服務(wù)的惡意復制”。
  
  檢測 ACL 修改
  
  我們可以運行以下查詢(xún)來(lái)識別我們授予對手用戶(hù) DCSync 權限的 ACL 修改。
  
  event_id :5136
  
  log_name :“Security”
  
  dsobject_class :“domainDNS”
  
  修改 ACL 時(shí)會(huì )生成多個(gè)事件。
  
  事件日志計數將始終為偶數,因為單個(gè) ACL 修改始終有 2 個(gè)事件。同樣可以通過(guò)使用“相關(guān) ID”過(guò)濾來(lái)驗證。一個(gè)事件是“Value Deleted”(ACL 刪除/刪除),第二個(gè)事件是“Value Added”(ACL 添加/修改)。
  
  我們還可以使用 PowerShell 命令:“ConvertFrom-SddlString”轉換“nTSecurityDescriptor”值,以獲取有關(guān)所做更改的更多詳細信息。
  
  注意:- 此命令無(wú)法檢索 DCSync 權限的值,我們將始終將值視為“WriteAttributes”,我們需要從加入域的機器上運行此命令。
  
  建議
  
  建議定期審核有風(fēng)險的基于 ACL 的錯誤配置,因為這可能會(huì )導致整個(gè)域環(huán)境受到損害。
 ?。?a href="http://m.lsbmaoyi.com/wechat/">邯鄲微信托管)

最新資訊
? 2018 河北碼上網(wǎng)絡(luò )科技有限公司 版權所有 冀ICP備18021892號-1   
? 2018 河北碼上科技有限公司 版權所有.
中文字幕av在线| 日韩野外理论在线视频观看| 色偷偷亚洲第一成人综合网址| 亚洲美国产亚洲AV| 一区二区三区四区欧美精品久久| 国产福利一区二区久久| 在线观看日韩精品| 中文字幕2019国语在线播放| 亚洲东京热无码久久| 一级片不卡免费看老司机| 亚洲一级中文理论| 欧美国产亚洲另类一区| 亚洲日韩国产成网| 在线看aⅴ五月天中文字幕| 亚洲AVTV永久综合在线| 亚瑟大片免费观看网站| 亚洲AV成人无码久久精品超碰| 99热6这里只有精品| 一级二级在线观看| 无码人妻精品一区二区三区66| 香蕉日日精品一区二区三区| 一级欧美三级在线观看午夜精品| 亚洲精品国产高清在线观看| 最新热门国产剧大全| 中文字幕在线免费网站| 亚洲欧美日韩另类在线专区| 色综合久久久久综合体桃花网| 一区二区三区不卡视频在线观看| 久久婷婷丁香精品色av片| 中国中年女人色av| 国产精品三级av及在线观看| 久久久久久久精品无码AV少妇| 精品久久久久久三级| 日韩女同一区二区三区| 中国性xxx免费视频| 一本大道久久a久久精品综合| 日韩精品免费第一区二区三区| 免费精品一区二区三区视频日产| 亚洲AV日韩综合一区尤物| 亚洲aV日韩aV无码导航| 国产一级毛片三级三级影院| 中文字幕国产乱码| 亚洲精品久久久久| 亚洲美女午夜福利在线观看| 在线精品91青草国产在线观看| 一区二区中文字幕无码成人片| 亚洲国产精品av在线播放| 亚洲综合图片小说区热久久| 曰本女人与公拘交酡| 熟女精品少妇一区二区三区| 亚洲欧美中文日韩二区一区| 国产丝袜无码一区二区视频| 永久免费看mv网站| 亚洲精品aⅴ中文字幕乱码| 无码日韩久久精品国产欧中文| 亚洲免费在线视频观看| 亚欧美香蕉爽爽人人| 欧美zooz人与禽交| 亚洲精品在线观看国产| 综合欧美日韩一区二区国产网站| 亚洲国产欧美日韩一区| 久久久久99精品成人片直播| 国产一级无码视频在线观看| 国产AV一区二区三区| 最新亚洲精品国自产在线观看| 日本五月天婷久久网站| 欧美色精品人妻在线视频| 一级电影免费在线观看| 亚洲天堂免费在线视频| 亚洲av午夜福利精品一级无码| 免费国产黄网站在线观看| 中文字幕免费高清电视剧| 中文天堂资源在线WWW| 亚洲情a成黄在线观看| 少妇一晚三次一区二区三区| 人妻少妇精品视频无码专区| 一级做a爰性色毛片免费1| 一本大道一卡2卡三卡4卡国产| 中文精品字幕电影在线播放视频| 99久久精品无码一区二区毛片| 亚洲欧洲在线观看一区二区在线| 亚洲日本乱码一区二区产线一| 亚洲欧美精品在线| 中文字幕一区二区观看| 在线观看高清视频bbixx| 亚洲成a人片在线v| 又粗又大又黄欧美性爱视频| 中文字幕国产精品第| 国产又粗又长又爽又黄的视频| 伊人色亚洲视频免费| 成人精品免费视频在线观看| 亚洲日本va中文字幕久久| 国产毛多水多高潮高清| 成人3d精品动漫在线播放| 亚洲免费精品性爱视频网站| 日韩专区一区二区在线摇放| 亚洲图片欧美色图| 亚洲人成网国产最新在线| 亚洲永久精品国产无损音乐| 亚洲欧美日韩在线精品一区二区| 国产中老年妇女精品| 亚洲欧美日韩在线观看| 国产一区二区精品成人AV| 亚洲欧美日韩高清在线| 亚洲精品网站在线观看| 亚洲精品va在线观看无码| 亚洲国产精品日韩高清秒播| 在线免费观看一区二区三区| 亚洲伊人成综合成人网| 日本黄页网站大全宅男限制级下载| 亚洲精品国产电影午夜在线观看| 中国亚洲色大成网站www| 国产精品人人做人人爽| 无码午夜福利高潮视频| 亚洲风情亚aⅴ在线发布| 亚洲高清在线精品尤物三区| 亚洲国产午夜福利在线视频| 日韩ol精品视频在线观看| 亚洲精品国产第一区第二区国| 国产亚洲精品无码成人| 亚洲中字无码AV电影在线观看| 国产人妻人伦精品久久久电影| 91精品欧美一区二区三区| 亚洲中文字幕资源视频| 国产又粗又猛又爽又黄毛片| 最新一本无码中文字幕不卡| 国产欧美亚洲精品a| 国产精品无码一区免费看| 在线天堂资源www在线中文| 99久久全国免费久久爱| 亚洲欧美国产日韩在线| 亚洲高清heyzo加勒比| 国产内地福利在线观看| 一级高清毛片免费a级高清毛片| 一区二区三区久久久人妻| 亚洲av无码不卡在线播放| 中文无码一区二区不卡αv| 亚欧洲精品视频免费观看mv| 中文字幕日韩一区二| 国产综合精品中文字幕免费| 一区二区视频免费在线观看| 中文天堂在线WWW最新版官网| 中文无码在线观看| 亚洲欧洲色玖玖资源在线| 中文字幕日韩精品内射| 国产原创aV剧情偷女邻居内裤| 中文字幕日本在线观看| 中文字幕一区二区精选影视| 亚洲日韩在线观看一区二区三区| 国产成人久久AV免费高清| 亚洲一区色77综合影院| 亚洲视频一二三区| 综合久久久久久98| 中文版免费在线观看| 亚洲欧洲自拍拍偷午夜色无码| 国产高清成人在线观看视频| 中文字幕av人妻| 亚洲午夜久久多人| 亚洲aV性色在线观看无码| 国产成人久久综合一区77| 亚洲视屏在线观看| 最新一本无码中文字幕不卡| 亚洲大屁股美女免费影院| 最新无码国产在线视频2021| 亚洲色偷偷男人的天堂| 中文精品99久久国产| 中文字幕乱妇无码AV在线| 人人莫人人爽人人爽| 亚洲人成人影院在线观看| 中文字幕不卡1区2区在线观看| 欧美精品国产精品日韩电影| 久久久久毛片精品美女| 中文字幕无码成人片| 亚洲欧美精品午睡沙发| 亚洲欧美在线综合色影视| 亚洲卡一卡二卡三乱草莓| 亚洲自拍高清免费| 精品乱码一区内射人妻无码| 精品日韩永久免费精品| 伊人久久大香线观后感| 亚洲第一五月天婷婷丁香导航| 亚洲综合在线观看一区| 中文字幕日本最新乱码视频| 国产高清视频免费在线观看| 精品高潮呻吟久久AV| 亚洲国产精品乱码在线观看97| 人妻丰满精品一区二区a片| 在线观看国产jk丝袜控网站| 亚洲ⅴ国产v天堂a| 亚洲精品久久久久一| 久久国产亚洲精品无码| 久久中文字幕精品视频| 亚洲国产成人精品视频| 亚洲国产视频无码在线观看| 亚欧色一区w666天堂| 久久精品一区二区三区四区| 免费国语手机免费观看| 亚洲无人禁区迷人| 在线亚洲+欧美+日本专区| 亚洲Va中文字幕久久无码一区| 亚洲欧美熟妇欲乱又伦| 最新无码中文字幕一区| 伊人久久精品综合视频网| 在线天堂》电影全集免费观看全集| 亚洲精品aⅴ中文字幕乱码| 亚洲欧美aⅴ一区二区三区| 伊人久久中文字幕无码专区| 国产99视频精品免费视看6| 亚洲AⅤ日韩AⅤ无码污污网站| 日韩国产精品欧美一区二区| 亚洲最大天堂无码精品区| 亚洲精品aⅴ中文字幕乱码| 久久精品国产福利国产秒拍| 亚洲无码精品人妻无遮挡久久久九| 亚洲欧美日韩在线资源观看| 免费高清免费在线播放| 亚洲视频在线com| 亚洲AⅤ永久无码无人区| 人妻少妇偷人精品免费看| 亚洲男人中文字幕一区| 亚洲天天久久中文字幕精品| 欧美一区二区三区不卡| 在线观看黄a片免费网站| 三级日本黄页网站大全| 亚洲国产精品婷婷久久久久| 一区二区三区无码被窝影院| 亚洲精品国偷拍自产在线| 国产良妇出轨视频在线观看| 丁香花婷婷色五月综合网| 亚洲国产精品二区在线| aV狠狠色丁香婷婷综合久久| 亚洲自拍另类欧美综合| 国产亚洲精品久久久闺蜜| 中文字幕欧美精品人妻一区| 在线观看日本A级片| 欧美日韩人成综合在线播放| 欧美精品在欧美一区二区少妇| 亚洲熟妇在线视频| 免费在线观看欧美日韩色视频| 亚洲伊人色一综合网| 无码高潮爽到爆的喷水视频| 久久国产美女精品久久| 综合亚洲一区二区三区| 在线观看亚洲无码sv| 亚洲黄色视屏一级高清无码| 亚洲丰满熟女一区二区| 亚洲欧美一区二区三区另| 久久久久欧美精品网站| 97视频在线免费观看| 亚洲国产一成人久久精品| 国内一级在线黄色大片| 在线观看AV黄网站永久| 最新国产精品精品| 欧美日本一道高清国产| 亚洲综合精品一区二区三区中文| 中文字幕人妻偷伦在线视频| 亚洲日本中文字幕天天更新| 亚洲AⅤ日韩AⅤ无码污污网站| 国产精品视频一区二区三区八戒| 日日精品亚洲未满电影| 亚洲精品一区二区三区在线观看| 久久国产乱子伦精品免费午夜| 中文字幕人妻一区二区在线视频| 无码免费无线观看在线视| 中文字幕亚洲欧美专区| 午夜伦不卡在线观看| 亚洲自拍偷拍专区| 亚洲精品无码久久不卡| 久久久精品欧美一区二区免费| 中文不卡在线视频| 欧美激情XXXX性BBBB| 午夜dj手机免费播放| 在线a毛片免费视频观看| 亚洲中文字幕人成影院| 亚洲色婷婷天天看| 日韩精品一区二区三区不卡| 亚洲男人的天堂在线无码| 一区二区三区午夜免费福利视频| 日韩欧美在线综合网| 欧美日韩一区二区三区| 中文字幕亚洲综合中文字幕| 综合色欲久久精99999| 欧美人伦禁忌dvd| 免费av无码无在线观看| 国产午夜福利在线观看视频| 一级欧美在线高清视频| 亚洲熟妇无码久久精品爱|