记一次在域内多个用户横跳到获取域控及域内hash获取的多种方式-先知社区

历史记录

清空历史记录

相关的动态
相关的文章
相关的用户
相关的圈子
相关的话题

注册登录

记一次在域内多个用户横跳到获取域控及域内hash获取的多种方式

vghost 发表于浙江 WEB安全 613浏览 · 2025-04-29 02:52

信息收集

端口扫描

使用nmap进行端口探测，发现存在多个端口存活

接着使用nmap进行探测具体协议

接着使用其探测具体协议。

SMB-TCP 445

使用netexec进行共享枚举

smbclient未授权访问

guest有权访问该

HR

共享。使用

smbclient

访问

发现一个文件，下载到本地进行查看。

爆破用户ID

使用

netexec

暴力破解从 0 到 4000 的用户 ID

使用

grep

创建用户列表

michael.wrightson用户权限

查找用户

使用netexec对用户进行默认密码尝试

成功枚举出用户之后，然后进行登录。

检查访问权限

使用netexec检查ladp、winrm、smb等权限。

david.orelious用户权限

枚举

使用netexec进行枚举之后，发现没有其他额外的共享访问权限：

用户列表

列出所有用户列表

SMB登录

使用SMBclient进行登录

备份脚本.ps1

下载脚本之后，然后查看，成功获取用户名和密码

凭证校验

使用netexec进行验证其他协议

WinRM远程登录

成功获取user.txt文件

权限提升

发现emily.oscars 属于备份操作员组

利用 SeBackupPrivilege进行权限提升

reg/secretsdump

使用secretsdump.py导出hash值

NetExec

将注册表配置单元转储到文件中

使用reg.py

复制注册表配置单元：

获取root权限

域内hash获取的三种方式

域名哈希并非存储在注册表中，而是

ndts.dit

存储在

C:\Windows\NTDS

目录中的文件中。即使使用

SeBackupPrivilege

，也无法像复制其他文件一样直接复制它。这并非权限问题，而是因为它一直在被活动目录进程使用。

方法1：复制 ntds.dit

有几种方法可以获取此文件的副本。一种方法是使用

diskshadow

备份实用程序，这很好用，因为我不需要将任何其他工具上传到目标。我需要传递一个脚本来运行它：

方法2：提取哈希值

secretsdump.py

也可以提取这些哈希值：

方法3：NetExec

netexec

使用

ntdsutil

模块来完成此操作：

0 人收藏 0 人喜欢

分享

1 条评论

某人

表情

热门文章

优秀作者

目录

先知社区