内网渗透 - 拿下域控

看了很多前辈们写的wp之后，发现好像基本上没有大佬实用cs渗透神器，所以小老弟就在这里献丑了。
1、一开始我们使用蚁剑获取了一个普通用户的shell

2、使用cs制作exe的木马文件，然后进行上传木马，执行文件

说明：现在我的shell是普通用户的权限，这里为了方便，我还是使用烂土豆进行提权执行文件。

3、cs成功上线

说明：CS一些基本的命令
shell whoami
shell netatat -ano
shell tasklist
shell systeminfo
shell net users
shell view
shell ipconfig /all

4、端口内网扫描

其中有两种探测端口模式（arp、icmp），个人比较喜欢imcp

已经开始在扫描端口开放情况，速度有点慢，耐心等待

5、用 cs 的 hashdump 读内存密码：hashdump，用 mimikatz 读注册表密码：logonpasswords

在凭证信息一栏可以清楚查看：

6、查看targets，看看有哪些机器

7、使用pxesec登录10.0.1.8机器

8、成功连接上10.0.1.8机器，在图标视图中：

使用 ipconfig /all 查看 DNS 服务器：

还是使用cs 的 hashdump 读内存密码：hashdump，用 mimikatz 读注册表密码：logonpassword

9、发现1.0.1.8存在域，下面是域的一些信息搜集
查看时间服务器：net time /domain

查看主域信息：net view /domain

利用 nslookup 命令直接解析域名服务器：

查看当前域的所有用户：net user /domain

获取域内用户的详细信息：wmic useraccount get /all

可以获取到用户名，描述信息，SID 域名等：

查看所有域成员计算机列表：net group “domain computers” /domain

查看域管理员：net group “domain admins” /domain

查看域控制器：net group “domain controllers” /domain

查看企业管理组：net group “enterprise admins” /domain

10、查看进程列表，获取taskhost.exe的token值

11、利用token值登录域控机器10.0.1.6

11、域控机器成功上线

成功获取域控机器上的flag

终于是拿到flag值了，对内网渗透有进一步了解了