search
Home

DCSync

hashtag
Descripción

Para realizar un ataque de DCSync se debe tener control sobre una cuenta que tenga privilegios para realizar replicación de dominio:

  • Replicating Directory Changes

  • Replicating Directory Changes All

Los administradores de dominio tienen este privilegio de forma predeterminada.

hashtag
Verificar privilegios de replicación de dominio

Verificación de privilegios de replicación de dominio para un usuario.

# PowerView
$sid = Convert-NameToSid <user>
Get-ObjectAcl "DC=ACME,DC=LOCAL" -ResolveGUIDs | ? { ($_.ObjectAceType -match 'Replication-Get')} | ?{$_.SecurityIdentifier -match $sid} | Select AceQualifier, ObjectDN, ActiveDirectoryRights, SecurityIdentifier, ObjectAceType | fl

hashtag
Almacenamiento de contraseña de cifrado reversible

hashtag
Módulo ActiveDirectory PowerShell

Get-ADUser -Filter 'userAccountControl -band 128' -Properties userAccountControl

hashtag
PowerView

hashtag
Impacket

Obtención de todos los hashes del dominio.

Obtención de hashes de un usuario del dominio.

hashtag
Mimikatz

Obtención de hashes de un usuario del dominio.

hashtag
Invoke-Mimikatz

Obtención de hashes de un usuario del dominio.

AnteriorKerberoastSiguienteUnconstrained delegation

Última actualización