|
|
|
联系客服020-83701501

巧用DSRM密码同步将域控权限持久化

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
巧用DSRM密码同步将域控权限持久化

0x00 序文

本文将会讲授在失掉到域控权限后若何操纵DSRM密码同步将域管权限持久化。 不是科普文,废话不久不多说。环境说明:

  • 域控:Windows Server 2008 R2
  • 域内主机:Windows XP

0x01 DSRM密码同步

这里应用细碎陈设域时内置的用于Kerberos考据的普通域账户krbtgt。

PS:Windows Server 2008 需要陈设KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。

同步当前应用法国佬神器(mimikatz)查抄krbtgt用户和SAM中Administrator的NTLM值。如下图所示,可以看到两个账户的NTLM值相同,说分明凿同步胜利了。

0x02 修改注册表应承DSRM账户长途造访会见

修改注册表

Default
1 HKLM\System\CurrentControlSet\Control\Lsa

路径下的

Default
1 DSRMAdminLogonBehavior

的值为2。

PS:细碎默许不具有DSRMAdminLogonBehavior,请手动减少。

0x03 应用HASH长途登录域控

在域内的等闲主机中,带动法国佬神器,履行

Default
12 Privilege::debugsekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20

会弹出一个CMD,如下图中右下角的CMD,此CMD有权限造访会见域控。左下角的CMD是直接Ctrl+R带动的外地CMD,可以看到并无权限造访会见域控。

0x04 一点说明

DSRM账户是域控的外地方案员账户,并不是域的方案员帐户。所以DSRM密码同步当前并不会影响域的方案员帐户。此外,在下一次中止DSRM密码同 步过来,NTLM的值不绝有效。所以为了包管权限的持久化,非常在跨国域或上百上千个域的大型内网中,最佳在变乱查抄器的安然变乱中筛选变乱ID为 4794的变乱日志,来果断域管是否屡屡中止DSRM密码同步垄断。

[via@Her0in]

注:本文系乌云民间授权转载,未经乌云民间授权请勿转载本文!

数安新闻+更多

证书相关+更多