0x00 前言

本文將會講解在獲取到域控許可權後如何利用DSRM密碼同步將域管許可權持久化。 不是科普文，廢話不多說。環境說明：

• 域控：Windows Server 2008 R2
• 域內主機：Windows XP

0x01 DSRM密碼同步

這裡使用系統安裝域時內建的用於Kerberos驗證的普通域賬戶krbtgt。

PS：Windows Server 2008 需要安裝KB961320補丁才支援DSRM密碼同步，Windows Server 2003不支援DSRM密碼同步。

同步之後使用法國佬神器（mimikatz）檢視krbtgt使用者和SAM中Administrator的NTLM值。如下圖所示，可以看到兩個賬戶的NTLM值相同，說明確實同步成功了。

0x02 修改登錄檔允許DSRM賬戶遠端訪問

修改登錄檔 HKLM\System\CurrentControlSet\Control\Lsa 路徑下的 DSRMAdminLogonBehavior 的值為2。

PS：系統預設不存在DSRMAdminLogonBehavior，請手動新增。

0x03 使用HASH遠端登入域控

在域內的任意主機中，啟動法國佬神器，執行

Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20

會彈出一個CMD，如下圖中右下角的CMD，此CMD有許可權訪問域控。左下角的CMD是直接Ctrl+R啟動的本地CMD，可以看到並無許可權訪問域控。

0x04 一點說明

DSRM賬戶是域控的本地管理員賬戶，並非域的管理員帳戶。所以DSRM密碼同步之後並不會影響域的管理員帳戶。另外，在下一次進行DSRM密碼同步之前，NTLM的值一直有效。所以為了保證許可權的持久化，尤其在跨國域或上百上千個域的大型內網中，最好在事件檢視器的安全事件中篩選事件ID為4794的事件日誌，來判斷域管是否經常進行DSRM密碼同步操作。