# DCSync

DCSync 是一项通过 **MS-DRSR** 协议复制 AD信息以及哈希的技术。DCSync 权限意味着持有对象对域具有 **DS-Replication-Get-Changes**，**Replicating Directory Changes All** 和 **Replicating Directory Changes In Filtered Set** 特权。通常来说，只有**域控制器**自身、**域管理员**、**企业管理员**才具备 DCSync 权限，在配置失误的情况下，其他对象也会被赋予 DCSync 权限，使得我们不需要到达域控制器或者拿到域管理员帐号也能提取域内任何帐号的哈希。

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-06/scaled-1680-/LhndPE3fzfzdi8L7-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-06/LhndPE3fzfzdi8L7-image.png)

至于对 Dcsync 权限的滥用，我们可以使用 Mimikatz 进行本地导出，也可以使用 Impacket 中的 secretdump.py 远程导出。在之前的内容里，我们发现 PROD 域里的 **backup\_operator** 被配置了 Dcsync 特权，因此我们可以切换至该用户，然后使用 CobaltStrike 内置的 **dcsync** 快捷命令导出目标用户的凭证。

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-06/scaled-1680-/P5C27ThPDH1hfMQL-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-06/P5C27ThPDH1hfMQL-image.png)

在 Linux 端，使用 secretsdump 脚本从 NTDS.DIT 中导出凭证：

```shell
python3 secretsdump.py <域fqdb>/<用户>:<密码>@<DC IP> -just-dc
```

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-06/scaled-1680-/Dgpcnjxf7GgO4s7Q-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-06/Dgpcnjxf7GgO4s7Q-image.png)