专栏首页重生信息安全域渗透-权限维持之 DSRM

域渗透-权限维持之 DSRM

一、利用简述

除了krbtgt服务帐号外,域控上还有个可利用的账户:目录服务还原模式(DSRM)账户,这个密码是在DC安装的时候设置的,所以一般不会被修改。但是微软对DSRM帐号进行了限制,只允许在控制台登录。可以通过修改注册表的方式,将如下注册表键值: HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior 中的DSRMAdminLogonBehavior改为2,就可以通过网络验证并登录到DC。这样DSRM账户就可以看做一个本地管理员帐号。可以通过导出的HASH结合PTH方式,持续控制DC,即使域内用户密码都进行了修改也可以利用。

二、更改DSRM 密码的两种方法

(1)密码通过明文指定:

ntdsutil

set dsrm password

reset password on server null

<PASSWORD>

Q

Q

这里要求输入的密码不是Administrator的密码,是DSRM的单独密码

(2)通过域账户同步Hash

ntdsutil

set dsrm password

sync from domain account <your user here>

Q

Q

三、DSRM 账户Hash同步的问题讨论

1. 设置RSRM账户明文密码

使用Administrator设置DSRM账户密码后,抓hash发现Administrator的SAM数据库中存贮的NTLM hash变为DSRM账户密码设置的密码hash

Administrator 明文:qwe123#@!.. NTLM-Hash:4a*****

DSRM账户明文密码:qwe13579.. NTLM-Hash:80*****

这时通过远程连接Administrator账号明文密码仍然可以正常连接:

重新更改Administrator密码后抓取SAM数据库中的NTLM hash发现其值不变,NTDS.dit数据库文件中的NTLM hash改变;重新设置DSRM账户明文密码Hash更改

2.使用域用户同步DSRM账户

Administrator 明文:[zxc123#@!..] NTLM-HASH:e3f4ca1c51379484b24474f8d9a5ccf8

Jack01明文:[qwe123#@!..] NTLM-HASH:4a4558a96ba8c11aef734a34421b8068

(1)同步Jack用户

抓密码发现ntds.dit和sam数据库中的NTLM值不一样,sam中的Administrator hash变为jack01的hash,也就是我们指定的域用户的hash

此时,Administrator的凭证可以正常使用:

(2)同步Administrator用户

ntdit和sam数据库的Hash相同用都是e3f4ca1c51379484b24474f8d9a5ccf8,也就是Administrator的明文hash。更改administrator密码为qaz123#@!.. HASH[29279cc8e3d7d48461648894e4ce3479]抓密码发现

Ntds.dit数据库的Hash更改,但是sam数据库不变。使用更改后的密码hash登录:

从上述我们可以得出如下结论:

(1)DRSM的两种设置方法只是更改了本地的Administrator的sam数据库的hash,相当于域控上的一个本地用户

(2)Administrator账号可以正常使用,不受影响

(3)DRSM设置与指定的域用户无关,其Hash只有重新设置才会更改,指定用户更改密码不影响

四、使用DSRM账户远程链接

1. 使用DSRM账户连接的前提

(1)系统要求:在安装了KB961320补丁的Windows Server 2008及之后的Windows Server版本开始支持在DC上使用指定的域帐户同步DSRM密码

(2)更改DSRM的密码方式:同步域用户的方式

(3)开启支持DSRM账户网络连接:需要修改注册表项,默认没有改项

Cmd:reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

Powershell:New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\" -Name "DsrmAdminLogonBehavior" -Value 2 -PropertyType "DWORD"

1. 利用方式:

(1)RDP

远程桌面客户端,可以使用”mstsc /console”或者”mstsc /admin”,Windows Server 2012 R2没有试验成功

(2)Pth

通过设置DSRM明文密码,发现DSRM 的明文和hash不能利用

在指定同步域用户Administrator用户密码后更改该域用户的密码测试,发现可以利用

但是重启之后无法利用:

五、渗透利用

该方式利用比较简单,只需要知道一个有效域用户的hash即可,但需要两点需要注意:(1)域控上是否经常同步域用户(2)域控是否经常重启(小概率)

因此我们需要在域控上进行判断,查找Security-4794事件(DSRM同步域用户)和开关机记录

本文分享自微信公众号 - 重生信息安全(csxxaq),作者:T3ngYu

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 利用数据库进行权限维持

    有一段日子没有露面了,有人说我鲨鱼已经回家开面包车了,我笑了笑我把他和面包车一起送到了非洲,没钱人的生活往往就是这么朴实无华,且枯燥!

    重生信息安全
  • 聊一聊代码、命令执行

    php官方在php7中更改了assert函数。在php7.0.29之后的版本不支持动态调用。

    重生信息安全
  • 一次bypass Xss-waf的经历

    接到测试网站,利用crawlergo+XRAY扫到了一个xss,这是入口点。打开网页长这个样子。

    重生信息安全
  • NDK--利用FFmpeg进行视频解码

    名称 推出机构 推出时间 目前使用领域 HEVC(H.265) MPEG/ITU-T 2013 研发中 H.264 MPEG/IT...

    aruba
  • 用VisualStudio2019预览版体验C++20新功能

    最近的连载中有很多内容涉及到C++20中的内容,例如concept等。但是由于C++20还属于新生事物,不仅可以参考的例子少,找到一个可以体验C++20功能的开...

    面向对象思考
  • Apache日志变量详解

    院长技术
  • 如何让nginx服务器抵御DDOS攻击

    DDOS是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。一般情况下,攻击者通过大量请求与连接使服务器处于...

    timhbw
  • 移动互联网焦虑:黑莓拒不悔改 死期将近

    Good科技认为黑莓保留自己上市的这一决策,已经让还在坚持其阵地的用户们产生动摇。为了改善系统安全性、升级管理工具,Good科技和MobileIron这样的移...

    人称T客
  • 一看就懂的Tensorflow实战(DCGAN)

    DCGAN在GAN的基础上优化了网络结构,加入了 conv,batch_norm 等层,使得网络更容易训练,网络结构如下:

    AI异构
  • 上班路上只能玩手机?不如用这 3 款小程序,轻松提高你的英语水平

    在这个胡歌都为英语「辅导班」代言的时代,不管是对于学生还是上班族,对英语的掌握程度是越高越好。

    知晓君

扫码关注云+社区

领取腾讯云代金券