DSRM Credentials
DSRM-Anmeldeinformationen
In jedem DC gibt es ein lokales Administrator-Konto. Wenn Sie über Administratorrechte auf diesem Computer verfügen, können Sie Mimikatz verwenden, um den Hash des lokalen Administrators abzurufen. Anschließend können Sie einen Registrierungseintrag ändern, um dieses Passwort zu aktivieren, sodass Sie auf den lokalen Administratorbenutzer remote zugreifen können. Zunächst müssen wir den Hash des lokalen Administrator-Benutzers im DC abrufen:
Dann müssen wir überprüfen, ob dieses Konto funktioniert, und wenn der Registrierungsschlüssel den Wert "0" hat oder nicht existiert, müssen Sie ihn auf "2" setzen:
Dann kannst du mit einem PTH den Inhalt von C$ auflisten oder sogar eine Shell erhalten. Beachte, dass für das Erstellen einer neuen PowerShell-Sitzung mit diesem Hash im Speicher (für den PTH) der "Domain"-Name einfach der Name der DC-Maschine ist:
Weitere Informationen dazu finden Sie unter: https://adsecurity.org/?p=1714 und https://adsecurity.org/?p=1785
Abhilfe
Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated