目录恢复模式帐户
每个域控制器都有一个用于 DC 的内部“Break glass”本地管理员帐户,称为目录服务还原模式 (DSRM) 帐户。提升 DC 时设置的 DSRM 密码,很少更改。在域控制器上更改 DSRM 密码的主要方法是运行 ntdsutil 命令行工具。
从 Windows Server 2008 上的修补程序KB961320开始,现在可以选择将 DC 上的 DSRM 密码与特定域帐户同步。请注意,每次更改密码时都必须执行此操作;它不会创建自动同步伙伴关系。
更改 DSRM 帐户密码:
在每个 DC 上运行以下命令(或通过将“null”替换为 DC 名称来远程针对每个 DC)
将 DSRM 帐户密码与域帐户(2k8 和更新版本)同步: 在您以域管理员身份登录的提升的 CMD 提示符中,运行:
NTDSUTIL SET DSRM PASSWORD SYNC FROM DOMAIN ACCOUNT <your user here> Q Q
使用 DSRM 后门 Active Directory
DSRM 密码的有趣之处在于 DSRM 帐户实际上是“管理员”。这意味着一旦攻击者拥有域控制器(或 DC)的 DSRM 密码,就可以使用此帐户以本地管理员身份通过网络登录域控制器。
我们可以通过使用已知密码创建一个新的 AD 用户来向 Mimikatz 确认这一点。从域用户帐户设置 DSRM 帐户密码同步并比较哈希值。
DSRMTest NTLM 密码哈希:2b391dfc6690cc38547d74b8bd8a5b49 管理员 (500) 本地帐户 NTLM 密码哈希:2b391dfc6690cc38547d74b8bd8a5b49
第二张图显示了 DC 上名为“Administrator”的本地管理员帐户,其密码哈希值与 DSRMTest 域用户帐户相同。
注意:本地 SAM 文件位于此处:C:\Windows\System32\config\SAM
使用 DSRM 凭证
一旦您知道 DSRM 帐户密码(DC 上的本地管理员帐户),就可以使用一些技巧。
使用 DSRM 帐户登录 DC:
无需重启即可访问 DSRM:
PowerShell New-ItemProperty “HKLM:\System\CurrentControlSet\Control\Lsa\” - 名称 “DsrmAdminLogonBehavior” - 值 2 -PropertyType DWORD
注册表值位于 HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior。它的可能值是:
DSRM 帐户凭证的功能在“ Sneaky Active Directory Persistence #13: DSRM Persistence v2 ”一文中进一步探讨。
通过网络使用 DSRM 凭据
可以通过网络使用 DSRM 凭证。
当 Windows 2000 和 Active Directory 发布时,DSRM 仅限于控制台登录是一种很好的安全方法。然而,今天有几种方法可以“在控制台”登录系统:
以本地 DC 的 DSRM 帐户(DC 本地管理员)登录后,我们可以确认我们在 DC 上,并且这是 DC 的本地管理员帐户。不是域帐户。
进一步证明这不是域帐户。
检测
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。