内网渗透(七十五)之域权限维持之DCShadow

DCShadow

2018年1月24日，在BlueHat安全会议上，安全研究员Benjamin Delpy 和 Vincent Le Toux 公布了针对微软活动目录域的一种新型攻击技术------DCShaow。利用该攻击技术，具有域管理员权限或企业管理员权限的恶意攻击者可以创建恶意域控，然后利用域控间正常同步数据的功能将恶意域控上的恶意对象同步到正在运行的正常域控上。由于执行该攻击操作需要域管理员权限或企业管理员权限，因此该攻击技术通常用于域权限维持。

漏洞原理

微软MS-ADTS（MicroSoft Active Directory Technical Specification）中指出，活动目录是一个依赖于专用服务器架构。域控便是承载此服务的服务器，它托管活动目录对象的数据存储，并与其他的域控互相同步数据，以确保活动目录对象的本地更改在所有域控之间正确的复制。域控间的数据的复制由运行在NTDS服务上一个名为KCC（Knowledge Consistency Checker）的组件所执行。

KCC的主要功能是生成和维护复制活动目录拓扑、以便于站点内和站点之间的扑拓复制。对于站点内的复制，每个KCC都会生成自己的连接；对于站点之间的复制，每个站点有一个KCC生成所有连接。

两种连接类型，如图所示：

默认情况下，KCC组件每隔15m