利用MS-SAMR协议修改/还原用户密码

在实战中，我们经常会碰到这么一种场景。拿到域控的权限了，把域内所有用户哈希都导出来了。为了找靶标，需要登录指定用户的机器或其他web系统，但是指定用户的hash未能解除明文密码，而RDP和web又不支持hash登录，这时，渗透陷入了困境。有的朋友可能会说，既然都有域控的权限了，那可以把指定用户的密码修改为我们已知的密码再利用，但是这种方法不可行，第一是演习规则中禁止修改用户密码，第二是用户如果发现自己的密码被修改了的话，就肯定知道被入侵了，立马会进行溯源，会打草惊蛇。

针对这种情况，我们有以下两种解决方案：

• 使用SetNTLM将用户密码重置，登录目标系统后，再将原密码还原
• 使用ChangeNTLM修改用户密码，登录目标系统后，再将原密码还原

注：两种方法的原理都是调用了MS-SAMR协议，不同的是ChangeNTLM是调用SamrChangePasswordUser这一API来修改用户密码，而SetNTLM是通过SamrSetInformationUser来重置用户密码，但是由于ChangeNTLM受组策略密码安全设置的影响较大，所以在实战中我们一般利用SetNTLM。

SetNTLM

该功能可以将指定域用户的密码重置为新的密码

利用条件：当前权限需要对要修改的用户有重置密码权限，域控对所有用户均有重置密码权限。

文章来源: xie1997.blog.csdn.net，作者：谢公子，版权归原作者所有，如需转载，请联系作者。

原文链接：xie1997.blog.csdn.net/article/details/119457498