DSRM Abuse

Windows mühitində hər bir domen nəzarətçisinin (DC) yerli Administrator hesabı var və adətən "Directory Services Restore Mode" (DSRM) Administrator hesabı kimi istinad edilir. Bu hesab Active Directory'ni bərpa etmək üçün istifadə olunur və domen səviyyəli Administrator hesabından ayrıdır.

DSRM parolu serverin domen nəzarətçisinə təqdim edilməsi zamanı təyin edilir və Kataloq Xidmətlərinin Bərpa Rejimində(Directory Services Restore Mode) serverə daxil olmaq üçün istifadə olunur. Bu hesab, Active Directory ilə əlaqəli sistemin bərpası və texniki xidmət tapşırıqları üçün kritik hesabdır. Biz DSRm parolunu əldə edə və sonra DC'yə yerli Administrator girişini əldə etmək üçün onun NTLM hash'ini pth(Pass-the-Hash) edə bilərik.

Aşağıdakı əmr ilə DSRM parolunu əldə edə bilərik(bu əmr üçün DA səlahiyyətlərinə ehtiyacımız var):

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"' -ComputerName <DC's Name>

token::elevate: Bu əmr cari prosesin imtiyazlarını yüksəltməyə çalışır.

lsadump::sam: Bu əmr istifadəçi hesabı məlumatlarını ehtiva edən Security Account Manager(SAM) verilənlər bazasını çəkmək üçün istifadə olunur.

İndi Pass-the-Hash hücumu ilə autentifikasiya edə bilərik.Amma pth-dən əvvəl DSRM hesabının davranışını dəyişdirməliyik.Bunun üçün DC-yə qoşuluruq:

Enter-PSSession -ComputerName <DC's Name>

İndi isə Reyestrdə Giriş davranışını dəyişdirək:

New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\" -Name "DsrmAdminLogonBehaviour" -Value 2 -PropertyType DWORD -Verbose

New-ItemProperty: Bu, reyestr açarı üçün yeni xüsusiyyət yaratmaq üçün istifadə edilən PowerShell cmdlet'idir.

"HKLM:\System\CurrentControlSet\Control\Lsa": Yeni xassənin yaradılacağı reyestr yolunu təyin edir.

-Name "DsrmAdminLogonBehaviour": Yeni reyestr xassəsinin adını "DsrmAdminLogonBehaviour" olaraq təyin edir.

-Value 2: Reyestr xassəsinin dəyərini 2-yə təyin edir.

-PropertyType DWORD: Reyestr xassəsinin məlumat tipini təyin edir. DWORD (Double Word) 32 bitlik işarəsiz tam ədəddir.

-Verbose: Bu, əmrin yerinə yetirilən hərəkətlər haqqında ətraflı məlumatı göstərməsini təmin edən və daha ətraflı çıxış təmin edən əlavə parametrdir.

Xassə mövcuddursa, aşağıdakı əmr ilə yuxarıdakı parametrləri təyin edə bilərik:

Set-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\" -Name "DsrmAdminLogonBehaviour" -Value 2 -Verbose

Bu prosesləri tamamladıqdan sonra DC'ə local admin girişi əldə etmək üçün Pass-the-Hash hücumundan istifadə edə bilərsiniz.

PreviousSkeleton Key AttackNextDCsync Attack

Last updated