假設(shè)我們現(xiàn)在已經(jīng)處在一個內(nèi)網(wǎng)中，該內(nèi)網(wǎng)處于域中。我們的終極目標(biāo)是實(shí)現(xiàn)對域控制器的控制。

[[70457]]

內(nèi)網(wǎng)信息獲取

信息的獲取直接通過Windows自帶的命令即可實(shí)現(xiàn)，簡單寫出來：

ipconfig /all
netstat –an
net start
net user
net user /domain
net group “domain admins”        #查看域管理員
net localgroup administrators
net view /domain
dsquery server         #查看域控服務(wù)器
dsquery subnet        #查看域IP范圍

上述命令執(zhí)行完，內(nèi)網(wǎng)的信息基本上就獲取的差不多了。個別命令根據(jù)個人愛好請自行增加減。

向域控出發(fā)

假設(shè)執(zhí)行dsquery server的結(jié)果我們發(fā)現(xiàn)域控服務(wù)器為DC-2008和DC-2003兩臺，而我們執(zhí)行命令的主機(jī)也是在域下的，那么我們可以直接WCE -w了，運(yùn)氣好的話明文密碼直接出現(xiàn)在你眼前，另一個外國人寫的神器叫mimikatz也能夠獲取明文密碼，圖我就不截了，大家自己動手吧！

如果運(yùn)氣好，那么恭喜，此時你已經(jīng)域控管理員密碼在手，域中隨意可行走。使用域控管理員密碼登錄域控服務(wù)器，使用pwdump、fgdump等各種密碼dump工具對整個域控的密碼散列進(jìn)行獲取即可。

如果運(yùn)氣差，使用wce沒有得到域管理員的密碼，那么你可以嘗試如下方式：

Incognito
Smb
Wce –s欺騙
Sniffer + ARP
其他（玉在哪里？）

Sniffer動靜很大，不到最后建議還是不要嘗試了。

結(jié)束語

此文僅以技術(shù)交流為目的，拒絕任何形式的攻擊行為。

想了半天我決定還是在結(jié)束語前面加上上面這句話，滲透是個技術(shù)活，也是個藝術(shù)活，各種奇技妙巧盡在其中，同時環(huán)境也復(fù)雜多變，但萬變不離其宗，以靜制動，后發(fā)制人。