PowerSploit\Recon\PowerView.ps1
powerview Get-NetDomainController 收集域控信息 具体的可以看看powerview的帮助文件 域内服务信息收集,在域环境中其实无需做端口扫描。直接通过SPN进行信息收集,具体脚本
- PowerShell-AD-Recon/blob/master/Discover-PSInterestingServices.ps1
复制代码
0x02域内权限获取1.日常规服务,通过前面收集的服务信息,针对性跑这些服务。其中跑
sqlserver弱口令比较好,跑出来了就可以执行命令。
3.pass the hash 抓到密码破不出来就只能pth了,可以使用mimakatz
- mimikatz # sekurlsa::pth /user:Administrateur /domain:chocolate.local /ntlm:cc36cf7a8514893efccd332446158b1a
复制代码
但是打了KB2871997这个补丁后常规的pth不能用了,只能传递administrator这个账号(sid=500),但是可以使用mimikatz任意传递aes256
4.steal token 当你获取了本地计算机的system权限后,如果这台机器上有域用户跑的进程,就直接可以窃取域账号的token,然后从本地用户组跨入域环境。如果这台机器上有域管的开的进程,那么直接steal token后就可以登录域控了。
5.远程执行命令方法