如何利用DSRM密码同步将域管权限持久化

前言

本文将会讲解在获取到域控权限后如何利用dsrm密码同步将域管权限持久化。不是科普文，废话不多说。环境说明：

域控：windows server 2008 r2

域内主机：windows xp

dsrm密码同步

这里使用系统安装域时内置的用于kerberos验证的普通域账户krbtgt。

ps：windows server 2008 需要安装kb961320补丁才支持dsrm密码同步，windows server 2003不支持dsrm密码同步。

同步之后使用法国佬神器(mimikatz)查看krbtgt用户和sam中administrator的ntlm值。如下图所示，可以看到两个账户的ntlm值相同，说明确实同步成功了。

修改注册表允许dsrm账户远程访问

修改注册表 hklm\system\currentcontrolset\control\lsa 路径下的 dsrmadminlogonbehavior的值为2。

ps：系统默认不存在dsrmadminlogonbehavior，请手动添加。

使用hash远程登录域控

在域内的任意主机中，启动法国佬神器，执行

privilege::debug

sekurlsa::pth /domain:win2k8-dc /user:administrator /ntlm:bb559cd28c0148b7396426a80e820e20

会弹出一个cmd，如下图中右下角的cmd，此cmd有权限访问域控。左下角的cmd是直接ctrl+r启动的本地cmd，可以看到并无权限访问域控。

一点说明

dsrm账户是域控的本地管理员账户，并非域的管理员帐户。所以dsrm密码同步之后并不会影响域的管理员帐户。另外，在下一次进行dsrm密码同步之前，ntlm的值一直有效。所以为了保证权限的持久化，尤其在跨国域或上百上千个域的大型内网中，最好在事件查看器的安全事件中筛选事件id为4794的事件日志，来判断域管是否经常进行dsrm密码同步操作。