0x00 前言
本文將會講解在獲取到域控權限後如何利用DSRM密碼同步將域管權限持久化。 不是科普文,廢話不多說。環境說明:
域控:Windows Server 2008 R2
域內主機:Windows XP
0x01 DSRM密碼同步
這裏使用系統安裝域時內置的用於Kerberos驗證的普通域賬戶krbtgt。
PS:Windows Server 2008 需要安裝KB961320補丁才支持DSRM密碼同步,Windows Server 2003不支持DSRM密碼同步。
同步之後使用法國佬神器(mimikatz)查看krbtgt用戶和SAM中Administrator的NTLM值。如下圖所示,可以看到兩個賬戶的NTLM值相同,說明確實同步成功了。
0x02 修改註冊表允許DSRM賬戶遠程訪問
修改註冊表
HKLM\System\CurrentControlSet\Control\Lsa
路徑下的
DSRMAdminLogonBehavior
的值爲2。
PS:系統默認不存在DSRMAdminLogonBehavior,請手動添加。
0x03 使用HASH遠程登錄域控
在域內的任意主機中,啓動法國佬神器,執行
Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20
會彈出一個CMD,如下圖中右下角的CMD,此CMD有權限訪問域控。左下角的CMD是直接Ctrl+R啓動的本地CMD,可以看到並無權限訪問域控。
0x04 一點說明
DSRM賬戶是域控的本地管理員賬戶,並非域的管理員帳戶。所以DSRM密碼同步之後並不會影響域的管理員帳戶。另外,在下一次進行DSRM密碼同 步之前,NTLM的值一直有效。所以爲了保證權限的持久化,尤其在跨國域或上百上千個域的大型內網中,最好在事件查看器的安全事件中篩選事件ID爲 4794的事件日誌,來判斷域管是否經常進行DSRM密碼同步操作。
