巧用DSRM密码同步将域控权限持久化

Her0in 2015-10-10 15:59:00

0x00 前言


本文将会讲解在获取到域控权限后如何利用DSRM密码同步将域管权限持久化。 不是科普文,废话不多说。环境说明:

  • 域控:Windows Server 2008 R2
  • 域内主机:Windows XP

0x01 DSRM密码同步


这里使用系统安装域时内置的用于Kerberos验证的普通域账户krbtgt。

PS:Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。

同步之后使用法国佬神器(mimikatz)查看krbtgt用户和SAM中Administrator的NTLM值。如下图所示,可以看到两个账户的NTLM值相同,说明确实同步成功了。

0x02 修改注册表允许DSRM账户远程访问


修改注册表HKLM\System\CurrentControlSet\Control\Lsa 路径下的 DSRMAdminLogonBehavior的值为2。

PS:系统默认不存在DSRMAdminLogonBehavior,请手动添加。

0x03 使用HASH远程登录域控


在域内的任意主机中,启动法国佬神器,执行

Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20

会弹出一个CMD,如下图中右下角的CMD,此CMD有权限访问域控。左下角的CMD是直接Ctrl+R启动的本地CMD,可以看到并无权限访问域控。

0x04 一点说明


DSRM账户是域控的本地管理员账户,并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效。所以为了保证权限的持久化,尤其在跨国域或上百上千个域的大型内网中,最好在事件查看器的安全事件中筛选事件ID为4794的事件日志,来判断域管是否经常进行DSRM密码同步操作。

评论

猪猪侠 2015-10-11 13:06:41

收藏一下

C

c4bbage 2015-10-12 09:13:47

多好的技巧。另附黄金票据 https://www.christophertruncer.com/golden-ticket-generation/

M

milk 2015-10-13 20:28:13

这是楼主自己发现么?我是你的脑残粉

路人甲 2015-10-13 21:43:19

@milk https://adsecurity.org/?p=1785

H

Her0in 2015-10-14 07:35:54

@milk 不是,发现这个方法的歪国大牛只是尽可能的描述了这种方法,而我只是站在一个攻击者的角度把这个方法简单化,「黑客化」了,实战中并不需要像原文那样复杂的操作。

M

milk 2015-10-14 20:59:46

@Her0in 谢谢,私信你了,还望赐教。

H

Her0in

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

硬件与物联网 文章:40 篇
区块链 文章:2 篇
Ruby安全 文章:2 篇
渗透测试 文章:154 篇
安全管理 文章:7 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录