DSRM Credentials
DSRM-referensies
Daar is 'n plaaslike administrateur-rekening binne elke DC. Deur admin-voorregte op hierdie masjien te hê, kan jy mimikatz gebruik om die plaaslike Administrateur-hash uit te dump. Daarna kan jy 'n register wysig om hierdie wagwoord te aktiveer, sodat jy vanaf 'n afstand toegang kan verkry tot hierdie plaaslike Administrateur-gebruiker. Eerstens moet ons die hash van die plaaslike Administrateur-gebruiker binne die DC dump:
Dan moet ons nagaan of daardie rekening sal werk, en as die register sleutel die waarde "0" het of nie bestaan nie, moet jy dit stel na "2":
Daarna kan jy met behulp van 'n PTH die inhoud van C$ lys of selfs 'n skul verkry. Let daarop dat vir die skep van 'n nuwe PowerShell-sessie met daardie hash in die geheue (vir die PTH) die "domain" wat gebruik word, net die naam van die DC-masjien is:
Meer inligting hieroor in: https://adsecurity.org/?p=1714 en https://adsecurity.org/?p=1785
Versagting
Gebeurtenis-ID 4657 - Toets die skep/verandering van
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated