DSRM Credentials
DSRM Credentials
Є обліковий запис локального адміністратора в кожному DC. Маючи права адміністратора на цій машині, ви можете використовувати mimikatz для вивантаження хешу локального адміністратора. Потім, змінивши реєстр, ви можете активувати цей пароль, щоб мати можливість віддалено отримати доступ до цього локального адміністратора. Спочатку нам потрібно вивантажити хеш користувача локального адміністратора всередині DC:
Тоді нам потрібно перевірити, чи цей обліковий запис працює, і якщо реєстровий ключ має значення "0" або не існує, вам потрібно встановити його на "2":
Тоді, використовуючи PTH, ви можете переглянути вміст C$ або навіть отримати оболонку. Зверніть увагу, що для створення нової сесії PowerShell з цим хешем в пам'яті (для PTH) "домен", що використовується, - це просто ім'я машини DC:
Більше інформації про це за адресами: https://adsecurity.org/?p=1714 та https://adsecurity.org/?p=1785
Пом'якшення
ID події 4657 - Аудит створення/зміни
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Last updated