DSRM Credentials
DSRM Kimlik Bilgileri
Her DC içinde bir yerel yönetici hesabı bulunmaktadır. Bu makinede yönetici ayrıcalıklarına sahip olduğunuzda, mimikatz kullanarak yerel Yönetici hash'ini çıkarabilirsiniz. Ardından, bu yerel Yönetici kullanıcısına uzaktan erişim sağlamak için bir kayıt defterini bu parolayı etkinleştirmek için değiştirirsiniz. İlk olarak, DC içindeki yerel Yönetici kullanıcısının hash'ini çıkarmamız gerekiyor:
Ardından, bu hesabın çalışıp çalışmadığını kontrol etmemiz gerekiyor ve kayıt defteri anahtarının değeri "0" ise veya mevcut değilse, "2" olarak ayarlamanız gerekiyor:
Ardından, bir PTH kullanarak C$ içeriğini listeleyebilir veya hatta bir kabuk elde edebilirsiniz. Unutmayın ki PTH için bellekte o karma ile yeni bir powershell oturumu oluştururken, "domain" sadece DC makinesinin adıdır:
Daha fazla bilgi için: https://adsecurity.org/?p=1714 ve https://adsecurity.org/?p=1785
Hafifletme
Olay Kimliği 4657 -
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
oluşturma/değiştirme denetimi
Last updated