巧用DSRM密码同步将域控权限持久化

安全 网站安全
本文将会讲解在获取到域控权限后如何利用DSRM密码同步将域管权限持久化。

0x00 前言

本文将会讲解在获取到域控权限后如何利用DSRM密码同步将域管权限持久化。不是科普文,废话不多说。环境说明:

域控:Windows Server 2008 R2

域内主机:Windows XP

0x01 DSRM密码同步

这里使用系统安装域时内置的用于Kerberos验证的普通域账户krbtgt。

巧用DSRM密码同步将域控权限持久化

 

PS:Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。

同步之后使用法国佬神器(mimikatz)查看krbtgt用户和SAM中Administrator的NTLM值。如下图所示,可以看到两个账户的NTLM值相同,说明确实同步成功了。

巧用DSRM密码同步将域控权限持久化 

巧用DSRM密码同步将域控权限持久化

0x02 修改注册表允许DSRM账户远程访问

修改注册表 HKLM\System\CurrentControlSet\Control\Lsa 路径下的 DSRMAdminLogonBehavior的值为2。

PS:系统默认不存在DSRMAdminLogonBehavior,请手动添加。

巧用DSRM密码同步将域控权限持久化

 

0x03 使用HASH远程登录域控

在域内的任意主机中,启动法国佬神器,执行

Privilege::debug

sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20

会弹出一个CMD,如下图中右下角的CMD,此CMD有权限访问域控。左下角的CMD是直接Ctrl+R启动的本地CMD,可以看到并无权限访问域控。

巧用DSRM密码同步将域控权限持久化

 

0x04 一点说明

DSRM账户是域控的本地管理员账户,并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效。所以为了保证权限的持久化,尤其在跨国域或上百上千个域的大型内网中,***在事件查看器的安全事件中筛选事件ID为4794的事件日志,来判断域管是否经常进行DSRM密码同步操作。

责任编辑:蓝雨泪 来源: 乌云知识库
相关推荐

2016-02-23 10:36:35

2009-08-26 18:05:25

ViewState持久

2024-01-08 08:36:01

RedisACL 配置持久化数据库

2013-09-12 14:56:02

iOS持久化

2024-03-26 00:03:08

Redis数据RDB

2010-09-07 14:45:34

sql语句

2020-03-03 14:15:49

Redis持久化数据库

2023-10-12 13:01:29

Redis数据库

2009-06-01 13:26:37

持久化规范JPAJava

2022-02-17 10:39:12

控制器芯片汽车

2021-03-18 08:18:15

ZooKeeper数据持久化

2019-12-27 13:50:04

JavaAPI代码

2010-02-01 09:54:43

2009-05-26 15:18:45

2009-09-24 16:39:20

Hibernate传播

2009-09-24 15:42:44

Hibernate对象

2009-09-29 16:11:45

Hibernate实现

2022-11-29 08:05:48

KubernetesPVCSI

2009-09-29 16:46:01

创建Hibernate

2020-02-18 16:14:33

RedisRDBAOF
点赞
收藏

51CTO技术栈公众号