前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >域渗透-权限维持之 DSRM

域渗透-权限维持之 DSRM

作者头像
重生信息安全
发布2020-03-06 15:16:51
1.3K0
发布2020-03-06 15:16:51
举报
文章被收录于专栏:重生信息安全
一、利用简述

除了krbtgt服务帐号外,域控上还有个可利用的账户:目录服务还原模式(DSRM)账户,这个密码是在DC安装的时候设置的,所以一般不会被修改。但是微软对DSRM帐号进行了限制,只允许在控制台登录。可以通过修改注册表的方式,将如下注册表键值: HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior 中的DSRMAdminLogonBehavior改为2,就可以通过网络验证并登录到DC。这样DSRM账户就可以看做一个本地管理员帐号。可以通过导出的HASH结合PTH方式,持续控制DC,即使域内用户密码都进行了修改也可以利用。

二、更改DSRM 密码的两种方法

(1)密码通过明文指定:

ntdsutil

set dsrm password

reset password on server null

<PASSWORD>

Q

Q

这里要求输入的密码不是Administrator的密码,是DSRM的单独密码

(2)通过域账户同步Hash

ntdsutil

set dsrm password

sync from domain account <your user here>

Q

Q

三、DSRM 账户Hash同步的问题讨论

1. 设置RSRM账户明文密码

使用Administrator设置DSRM账户密码后,抓hash发现Administrator的SAM数据库中存贮的NTLM hash变为DSRM账户密码设置的密码hash

Administrator 明文:qwe123#@!.. NTLM-Hash:4a*****

DSRM账户明文密码:qwe13579.. NTLM-Hash:80*****

这时通过远程连接Administrator账号明文密码仍然可以正常连接:

重新更改Administrator密码后抓取SAM数据库中的NTLM hash发现其值不变,NTDS.dit数据库文件中的NTLM hash改变;重新设置DSRM账户明文密码Hash更改

2.使用域用户同步DSRM账户

Administrator 明文:[zxc123#@!..] NTLM-HASH:e3f4ca1c51379484b24474f8d9a5ccf8

Jack01明文:[qwe123#@!..] NTLM-HASH:4a4558a96ba8c11aef734a34421b8068

(1)同步Jack用户

抓密码发现ntds.dit和sam数据库中的NTLM值不一样,sam中的Administrator hash变为jack01的hash,也就是我们指定的域用户的hash

此时,Administrator的凭证可以正常使用:

(2)同步Administrator用户

ntdit和sam数据库的Hash相同用都是e3f4ca1c51379484b24474f8d9a5ccf8,也就是Administrator的明文hash。更改administrator密码为qaz123#@!.. HASH[29279cc8e3d7d48461648894e4ce3479]抓密码发现

Ntds.dit数据库的Hash更改,但是sam数据库不变。使用更改后的密码hash登录:

从上述我们可以得出如下结论:

(1)DRSM的两种设置方法只是更改了本地的Administrator的sam数据库的hash,相当于域控上的一个本地用户

(2)Administrator账号可以正常使用,不受影响

(3)DRSM设置与指定的域用户无关,其Hash只有重新设置才会更改,指定用户更改密码不影响

四、使用DSRM账户远程链接

1. 使用DSRM账户连接的前提

(1)系统要求:在安装了KB961320补丁的Windows Server 2008及之后的Windows Server版本开始支持在DC上使用指定的域帐户同步DSRM密码

(2)更改DSRM的密码方式:同步域用户的方式

(3)开启支持DSRM账户网络连接:需要修改注册表项,默认没有改项

Cmd:reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

Powershell:New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\" -Name "DsrmAdminLogonBehavior" -Value 2 -PropertyType "DWORD"

1. 利用方式:

(1)RDP

远程桌面客户端,可以使用”mstsc /console”或者”mstsc /admin”,Windows Server 2012 R2没有试验成功

(2)Pth

通过设置DSRM明文密码,发现DSRM 的明文和hash不能利用

在指定同步域用户Administrator用户密码后更改该域用户的密码测试,发现可以利用

但是重启之后无法利用:

五、渗透利用

该方式利用比较简单,只需要知道一个有效域用户的hash即可,但需要两点需要注意:(1)域控上是否经常同步域用户(2)域控是否经常重启(小概率)

因此我们需要在域控上进行判断,查找Security-4794事件(DSRM同步域用户)和开关机记录

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-12-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 重生信息安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档