如何利用DSRM密码同步将域管权限持久化
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
前言
本文将会讲解在获取到域控权限后如何利用DSRM密码同步将域管权限持久化。不是科普文,废话不多说。环境说明:
域控:Windows Server 2008 R2
域内主机:Windows XP
DSRM密码同步
这里使用系统安装域时内置的用于Kerberos验证的普通域账户krbtgt。
PS:Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。
同步之后使用法国佬神器(mimikatz)查看krbtgt用户和SAM中Administrator的NTLM值。如下图所示,可以看到两个账户的NTLM值相同,说明确实同步成功了。
修改注册表允许DSRM账户远程访问
修改注册表 HKLM\System\CurrentControlSet\Control\Lsa 路径下的 DSRMAdminLogonBehavior的值为2。
PS:系统默认不存在DSRMAdminLogonBehavior,请手动添加。
使用HASH远程登录域控
在域内的任意主机中,启动法国佬神器,执行
Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20
会弹出一个CMD,如下图中右下角的CMD,此CMD有权限访问域控。左下角的CMD是直接Ctrl+R启动的本地CMD,可以看到并无权限访问域控。
一点说明
DSRM账户是域控的本地管理员账户,并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效。所以为了保证权限的持久化,尤其在跨国域或上百上千个域的大型内网中,最好在事件查看器的安全事件中筛选事件ID为4794的事件日志,来判断域管是否经常进行DSRM密码同步操作。
相关文章
- 怎样删除域控制器?公司有一台服务器之前安装了域名环境,今天安装软件突然发现各种权限问题无法正常进行。如果要去查找域名的策略设置非常麻烦,各种组策略条目,鉴于公司2015-01-23
域控制器(DC)管理员密码重置工具 v2.7 中文绿色免费版
重置被遗忘的域控制器(DC)管理员密码工具2.7版.重新启动电脑按F8启动Windows2003到目录服务恢复模式(DirectoryServiceRestoreMode)。查看详细使用方法请点击2014-02-13Windows Server 2008 R2 配置AD(Active Directory)域控制器(图文教程)
Windows Server 2008 R2 配置AD(Active Directory)域控制器: 配置环境,配置DNS服务器,配置Active Directory 域服务,C# AD(Active Directory)域同步 组织单位、用户等信2013-01-04- 本文档主要讲述了域控服务器的部署方法2012-10-24
- 作者:Awolf 首发:Awolf’S Security Blog 一.事情起因 那天满头大汗的把哥哥的电脑拿回来了。可是回到家一进入系统要密码,问了n次,密码都是错的。(忘2008-10-08
- 大家都知道,微软的溢出漏洞真实一箩筐,而溢出自然就是要拿到CMD权限,但是如果我们的CMD要密码的话……今天就给大家教CMD的防范方法。 CMD加密是通过批2008-10-08
- 以下是lock.bat文件 @echo off title 密码验证 SETLOCAL set pwd=0 set times=3 echo ________________________________________________________________2008-10-08
最新评论