DSRM Credentials
DSRM Credentials
Istnieje konto lokalnego administratora w każdym DC. Posiadając uprawnienia administratora na tej maszynie, możesz użyć mimikatz do zrzucenia hasha lokalnego administratora. Następnie, modyfikując rejestr, możesz aktywować to hasło, aby uzyskać zdalny dostęp do tego lokalnego użytkownika administratora. Najpierw musimy zrzucić hash użytkownika lokalnego administratora w DC:
Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz ustawić go na "2":
Następnie, używając PTH, możesz wylistować zawartość C$ lub nawet uzyskać powłokę. Zauważ, że do utworzenia nowej sesji powershell z tym hashem w pamięci (dla PTH) "domeną" używaną jest po prostu nazwa maszyny DC:
Więcej informacji na ten temat: https://adsecurity.org/?p=1714 oraz https://adsecurity.org/?p=1785
Łagodzenie
Identyfikator zdarzenia 4657 - Audyt utworzenia/zmiany
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated