本文详细介绍了DSRM(目录服务恢复模式)的原理,以及如何通过NTLM获取、同步和利用DSRM账户进行域渗透。同时,文章提供了针对DSRM后门的防御措施,包括定期检查注册表、修改DSRM账号密码和监控相关日志。
0x01 DSRM介绍
目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器域控制器的安全模式启动选项。
域控制器的本地账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM允许管理员用来修复或还原修复或重建活动目录数据库。如果DSRM密码忘了,可以使用命令行工具NTDSUtil进行更改。
DSRM 对域环境的持久化操作目前只能在安装KB96-1320的windows -server2008及以后版本,windows server2003 不能使用此方法。
每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM 账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。
0x02 NTLM获取
1、域用户NTLM的获取
使用 mimikatz 查看域内用户test的 NTLM hash,在域控制器中打开 mimikatz,分别输入如下命令:
mimikatz privilege::debug
mimikatz lsadump::lsa /patch /name:tes
2、本地管理员的 NTLM Hash获取
在域控制器中打开 mimikatz,分别输入如下命令:
mimikatz token:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
