DSRM Credentials
Credenciais DSRM
Existe uma conta de administrador local dentro de cada DC. Tendo privilégios de administrador nesta máquina, você pode usar o mimikatz para dump the local Administrator hash. Em seguida, modificando um registro para ativar esta senha para que você possa acessar remotamente este usuário Administrador local. Primeiro precisamos dumpar o hash do usuário Administrador local dentro do DC:
Então precisamos verificar se essa conta funcionará e, se a chave do registro tiver o valor "0" ou não existir, você precisa defini-la como "2":
Em seguida, usando um PTH você pode listar o conteúdo de C$ ou até mesmo obter um shell. Observe que para criar uma nova sessão do powershell com esse hash na memória (para o PTH) o "domínio" usado é apenas o nome da máquina DC:
Mais informações sobre isso em: https://adsecurity.org/?p=1714 e https://adsecurity.org/?p=1785
Mitigação
Evento ID 4657 - Auditoria da criação/mudança de
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated