DSRM Credentials
Poświadczenia DSRM
W każdym DC znajduje się lokalne konto administratora. Posiadając uprawnienia administratora na tym komputerze, możesz użyć mimikatz, aby wydobyć skrót lokalnego hasła Administratora. Następnie, modyfikując rejestr, aktywujesz to hasło, dzięki czemu możesz zdalnie uzyskać dostęp do tego lokalnego użytkownika Administratora. Najpierw musimy wydobyć skrót hasła lokalnego użytkownika Administratora wewnątrz DC:
Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz ustawić go na "2":
Następnie, używając PTH, możesz wyświetlić zawartość C$ lub nawet uzyskać powłokę. Zauważ, że aby utworzyć nową sesję PowerShell z tym hasłem w pamięci (dla PTH), "domena" używana to po prostu nazwa maszyny DC:
Więcej informacji na ten temat znajdziesz tutaj: https://adsecurity.org/?p=1714 i https://adsecurity.org/?p=1785
Zapobieganie
Identyfikator zdarzenia 4657 - Audyt tworzenia/zmiany
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated