0x00 前言
本文将解释如何在获得域控权限后使用它DSRM密码同步持续域管权限。不是科普文,废话不多说。环境描述:
域控:Windows Server 2008 R2
域内主机:Windows XP
0x01 DSRM密码同步
在这里使用系统安装域内置Kerberos验证的普通域账户krbtgt。
PS:Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。
同步后,使用法国老神器(mimikatz)查看krbtgt用户和SAM中Administrator的NTLM值。如下图所示,可以看到两个账户NTLM价值相同,说明同步成功。
0x02允许修改注册表DSRM远程访问帐户
修改注册表 HKLM\System\CurrentControlSet\Control\Lsa 路径下的 DSRMAdminLogonBehavior的值为2。
PS:默认不存在系统DSRMAdminLogonBehavior,请手动添加。
0x03 使用HASH远程登录域控
在域内的任何主机中,启动法国人神器并执行
Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20
会弹出一个CMD,如下图所示CMD,此CMD有权访问域控。CMD是直接Ctrl R启动的本地CMD,可见无权访问域控。
0x04 一点说明
DSRM账户是域控本地管理员账户,不是域管理员账户。DSRM密码同步之后并不会影响域的管理员帐户。另外,在下一次进行DSRM密码同步前,NTLM值一直是有效的。因此,为了保证权限的持性,特别是在跨国或数百个域的大型内网中,***筛选事件检查器的安全事件ID判断域管是否经常进行479 *** 日志DSRM同步操作密码。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
