DSRM Credentials
Credenziali DSRM
All'interno di ogni DC è presente un account amministratore locale. Avendo i privilegi di amministratore in questa macchina, puoi utilizzare mimikatz per estrarre l'hash dell'amministratore locale. Successivamente, modificando un registro per attivare questa password, puoi accedere in remoto a questo utente Amministratore locale. Prima di tutto, dobbiamo estrarre l'hash dell'utente Amministratore locale all'interno del DC:
Dopo di che, è necessario verificare se quell'account funzionerà e se la chiave del registro ha il valore "0" o non esiste, è necessario impostarla su "2":
Successivamente, utilizzando un PTH, è possibile elencare il contenuto di C$ o addirittura ottenere una shell. Nota che per creare una nuova sessione di PowerShell con l'hash in memoria (per il PTH) il "dominio" utilizzato è semplicemente il nome della macchina DC:
Ulteriori informazioni su questo argomento sono disponibili su: https://adsecurity.org/?p=1714 e https://adsecurity.org/?p=1785
Mitigazione
Evento ID 4657 - Audit della creazione/modifica di
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated