Directory Services Restore Mode (DSRM)
Descripción
Existe un administrador local en cada controlador de dominio, cuya contraseña corresponde a la ingresada en la opción de Directory Services Restore Mode (DSRM) al momento de instalar el servicio de Active Directory. Realizando una modificación al registro de Windows es posible activar dicha contraseña, para luego extraer su hash NT y acceder al controlador de dominio como administrador local utilizando Pass the Hash (PtH).
Invoke-Mimikatz
1) Obtención de hash NT del administrador local del controlador de dominio con Invoke-Mimikatz.
2) Configuración de registro DsrmAdminLogonBehavior
con valor 2.
Pass the Hash (PtH) a controlador de dominio con sesión de administrador local.
Última actualización