凭证转储 | Active Directory 可逆加密插图

介绍

根据 MITRE 的说法,攻击者可能会滥用 Active Directory 身份验证加密属性来获取对 Windows 系统上的凭据的访问权限。AllowReversiblePasswordEncryption属性指定是否启用或禁用帐户的可逆密码加密默认情况下,此属性处于禁用状态(而不是将用户凭据存储为单向哈希函数的输出),并且除非旧版或其他软件需要,否则不应启用该属性。

  • MITRE TACTIC:凭证转储(ID:TA0006)
  • MITRE 技术修改身份验证流程 (T1556)
  • MITRE SUB ID:可逆加密T1556.005 )

在域控制器中,用户帐户启用了可逆加密,这意味着加密的数据可以反转回用户的密码。使用可逆加密策略存储的密码不是哈希值,因为可以调用函数来恢复原始的明文密码。

你知道吗?

根据Microsoft:如果您通过远程访问或Internet身份验证服务 (IAS) 使用质询握手身份验证协议 (CHAP ),则必须启用此策略设置。CHAP 是一种用于远程访问和网络连接的身份验证协议。Internet 信息服务 (IIS) 中的摘要式身份验证还要求您启用此策略设置。

实验室设置

在 Active Directory 用户中启用可逆加密

有多种方法可以启用可逆加密属性:

  • 用户帐户属性

通过修改域用户帐户的帐户属性来启用可逆加密

凭证转储 | Active Directory 可逆加密插图1

Powershell命令设置 ADUser –AllowReversiblePasswordEncryption $ true

凭证转储 | Active Directory 可逆加密插图2

组策略管理

通过“计算机配置\Windows 设置\安全设置\帐户策略\密码策略\”启用使用可逆加密的商店密码

凭证转储 | Active Directory 可逆加密插图3

通过 UserAccountControl 的用户属性属性编辑器验证属性。

凭证转储 | Active Directory 可逆加密插图4

注意:现在,如果系统管理员重置用户帐户的密码,攻击者可能能够获取启用该属性后创建/更改的密码的明文。

枚举

用于查找启用了允许可逆密码加密的用户的 PowerShell 命令。Get-ADUser -Filter { AllowReversiblePasswordEncryption -eq “true” } | 选择名称,sAMAccountName

凭证转储 | Active Directory 可逆加密插图5

攻击:DC 同步

在域控制器中执行的命令以检查用户的明文密码。电源外壳。exe -ep 绕过导入模块 .\Invoke-DCSync。PS1调用-DCSync-AllData

凭证转储 | Active Directory 可逆加密插图6

DCSync 显示目标用户的明文密码。

凭证转储 | Active Directory 可逆加密插图7

减缓漏洞

  • 确保“允许可逆密码加密”属性设置为禁用。
  • 使用可逆加密的组策略存储密码设置为禁用。

结论

在本文中,我们能够解密活动目录用户帐户的密码。

本文参考自:《红队:凭证转储 – Active Directory 可逆加密