Blue17 の 小窝

内网渗透专栏学习目录，包含内网渗透全流程，方便读者体系化学习内网渗透的相关知识。

0x01：注册表键 AlwaysInstall 提权原理想系统化学习内网渗透？0x01：注册表键 AlwaysInstall 提权原理AlwaysInstallElevated 是一个组策略设置，它允许用户以管理员权限安装 MSI 包。若启用此策略，那么任何权限的用户都将能够以 NT AUTHORITY\SYSTEM 权限来安装恶意的 MSI（Microsoft WIndows Installer）文件。0x02：注册表键 AlwaysInstall 提权环境配置。

🌟在线读取 Ntds.dit 文件，即在不导出 Ntds.dit 文件的前提下，直接在域控上导出 Hash 值，但是这种做法等待时间较长，占用资源大，特别是在域环境比较大的时候，非常容易造成域控瘫痪，有一定风险，笔者不是很推荐这种做法。

0x01：导出域控的 Ntds.dit 文件 & System.hive 文件🌟在上个章节中我们介绍了怎么从域控中提取出 Ntds.dit 文件，那么本章我们将介绍如何离线读取 Ntds.dit 文件中的 Hash 值。离线读取 Ntds.dit 文件一般需要两步：将远端域控中的 Ntds.dit & System.hive 文件下载到攻击者本地。利用工具在攻击者本地进行读取。0x01：导出域控的 Ntds.dit 文件 & System.hive 文件0x0101：导出 Ntds.dit 文件。

如上，命令运行成功后会根据你提供的路径创建一个文件夹存放结果，AD 目录中存放的就是 Ntds.dit 文件，Registry 文件夹中存放的就是 SYSTEM 和 SECURITY 两个文件，这两个文件在我们后面破解的时候有大用。在上一章节中我们介绍了 Ntds.dit 文件的作用，我们发现该文件与之前介绍的 SAM 文件有异曲同工之妙，那么本章我们将介绍如何提取与移动 Ntds.dit 文件，为我们后面从该文件中提取 Hash 做铺垫。

该文件只有登录到域控的用户（如域管用户、DC 本地管理员用户）可以访问。所以只要在域渗透中能够获取到 Ntds.dit 就可以获取到所有域用户的用户名和对应的 Hash，它与 Windows 的 SAM 文件类似，默认都被系统锁死了，无法直接查看。Ntds.dit 包括三个主要表：数据表、链接表、SD 表。0x01：Ntds.dit 文件介绍。0x01：Ntds.dit 文件介绍。0x02：Ntds.dit 文件位置。

永恒之蓝漏洞（MS 17-010、

WinRM（Windows 远程管理）是 Microsoft 在 Windows 中对 WS-Management 的实现，它使系统可以跨网络访问或交换管理信息。利用脚本对象或内置的命令行工具，WinRM 可以与可能具有基板管理控制器（BMC）的任何远程计算机一起使用，以获取数据。也可以获取基于 Windows 的计算机（包括 WinRM）。

DcomExec 是 Impacket 工具包中的一个工具，属于是对前面介绍的各种 DCOM 横向移动命令的一个封装，运行工具，提供必要的参数后，它会依次遍历可能可用的 DCOM 接口，然后实现横向移动。虽然前面列举了一堆的 DCOM，但实际上能建立连接进行横向移动的是少之又少，本章笔者就介绍几个常用的，以及其对应的执行远程命令的方法。使用 DCOM 进行横向移动的优势之一，就是在远程主机上执行的进程将会是托管 COM 服务器的软件。（最好还是 Administrator 级别的，一般管理员可能还不太够）

0x01：SMB 介绍🌟0x01：SMB 介绍SMB（Server Message Block）是一种网络协议，，主要用于在计算机之间共享文件、打印机、串行端口等资源。它是 Windows 系统的核心协议之一，也被广泛应用于 Linux（通过 Samba 实现）和其它操作系统。通过 SMB 服务，客户端可以与服务端建立连接，当连接建立后，客户端就可以向服务端发送 SMB 命令允许用户访问共享、打开、读取或者是写入文件。0x02：SMB 衍生工具 — SMBExec。

0x01：WMIC 工具介绍🌟0x01：WMIC 工具介绍WMI 是 Windows 在 PowerShell 还未发布前，微软用来管理 Windows 系统的重要数据库工具，WMI 本身的组织架构是一个数据库架构，WMI 使用 DCOM 或 WinRM 协议，自从 PsExec 在内网中被严格监控后，越来越多的反病毒厂商将 PsExec 加入了黑名单，于是黑客们渐渐开始使用 WMI 进行横向移动。

而我们的 PsExec 主要是活跃在第三阶段，即拓展我们远程执行命令的手段（前两个阶段 PsExec 也可以，可以搜索一下 CMD 下载远程文件）。将恶意程序上传至靶机后，我们就可以通过 PsExec 直接远程在靶机上运行该恶意程序让靶机上线了，在前面我们也讲过了，当肉鸡与靶机建立信任关系后，PsExec 的执行就可以不用携带。由于 PsExec 是微软自己提供的工具，所以杀毒软件默认会将其列在白名单中（不过近期已经被列入黑名单了）。如上，成功以建立信任关系的用户权限执行恶意程序上线了靶机。

0x01：MS14-068 漏洞介绍🌟0x01：MS14-068 漏洞介绍MS14-068 漏洞主要是通过伪造域管的 TGT，将普通用户权限提升为域管权限，以此来控制域控。只要服务器未打 MS14-068 的补丁（KB3011780），那么在 Server 2000 以上的域控服务器中，都可以使用该漏洞进行攻击。0x02：MS14-068 利用条件MS 14-068 的利用需要满足以下几个条件：获取域普通用户的账号密码。获取域普通用户的 Sid。服务器未打 KB3011780 补丁。

该攻击不需要攻击者获取到本地管理员权限，只要能获取到内存中遗留的高权限用户的 PTT 即可发起攻击。票据传递是一种基于 Kerberos 认证的攻击方式，常用来做后渗透的权限维持。如上，执行上面的命令后会在当前目录中出现多个服务的票据文件，包括 krbtgt、cifs、ldap 等。如上，显示 OK，就代表我们票据注入成功了，接下来我们可以查看一下当前 Shell 中的票据。黄金票据：需要得到域内 Krbtgt 用户的 NTLM Hash 或 AES-256 的值。

0x01：Pass The Key 攻击介绍🌟部分系统在抓密码时无法抓取到 AES256_HMAC 字段，该问题笔者也不知道咋解决。若你的实验环境抓不到 Administrator 用户的 AES256 则你大概率是无法进行下去的。0x01：Pass The Key 攻击介绍密钥传递（Pass The Key，PTK）攻击，是作为前面介绍的 Pass The Hash 攻击的一种拓展。当 PTH 攻击无法成功拿到目标 NTLM Hash 的情况下，我们就可以考虑使用 PTK 攻击。

而在 Windows 网络中，散列值是用来证明用户身份的（有正确的用户名和密码散列值，就能通过验证），而微软自己的产品和工具显然不会支持这种攻击，所以，通常情况下攻击者会采用第三方工具来完成攻击。在上面那个方法中，我们 PTH 攻击成功后，还得远程桌面到靶机上，然后通过 IPC$ 才能横向移动，既麻烦，动作又大，那么有没有啥简单的方法来通过 PTH 上线内网其它机器呢？当用户需要登录某网站时，如果该网站使用明文的方式保存了用户的密码，那么，一旦该网站出现了安全漏洞，所有用户的明文密码就均会被泄露出去。

CrackMapExec（又名 CME）是一款非常好用的密码喷洒攻击的工具，该工具在 Kali Linux 中默认是安装好的（虽然是安装好的，But，你要是想实战使用，就得搭建内网隧道，将攻击流量传入到目标内网中，关于隧道，笔者在前面的章节中已经介绍过了，这里就不提了）。域内用户枚举攻击的产生，是由于 Kerberos 认证的特性导致的。那么由此可知，你提交认证的 “用户名” 存在与不存在，AS 返回的数据包是不一样的，所以，我们就可以根据 AS 返回的数据包状态，来判断该 “用户名” 是否存在。

0x01：IPC 介绍🌟0x01：IPC 介绍IPC（Internet Process Communication）是一种特殊的共享名称，用于在 Windows 系统中建立进程间的通信。它主要用于网络访问和管理，允许用户通过网络访问其他计算机的资源。通过 IPC$ 用户可以与目标机器建立连接，利用该连接，用户不仅可以访问目标机器中的文件，还可以进行上传、下载等操作，并且还支持在目标机器上运行其他命令，以获取目标机器的目录结构、用户列表等信息。

上面我们通过信息收集，成功拿到到了 “本地” 的 Administrator 的账号密码了，现在我们做一个假设，假设运维在配置 Administrator 时都是使用同一个密码直接配置的，那么我们是否可以尝试用这个密码去与域内其它机器通过 IPC$ 建立连接呢。通过 IPC$ 用户可以与目标机器建立连接，利用该连接，用户不仅可以访问目标机器中的文件，还可以进行上传、下载等操作，并且还支持在目标机器上运行其他命令，以获取目标机器的目录结构、用户列表等信息。IPC 建立连接是通过明文的账号密码进行的。

笔者实验采用的 RustDESK 版本是 1.1.9 的，已经属于老版本了，它建立的远控很不稳定，如果实战中想要使用，建议去参考官方的自建中继器。对于新版的 RustDESK 笔者也看了，它的 ID 做了加密，笔者没破解出来，不过其实也无所谓，我们还可以尝试直接去替换目标的配置文件来达到修改工具 ID 与密码的目的（密码可以修改，因为它似乎是本地验证，但是 ID 不确定改了会不会有问题，因为笔者怀疑它的 ID 与机器码绑定了）。0x0305：查看靶机 RustDESK 密码并进行远控。

使用该工具远控时，您不必在每一台电脑上都安装远程软件。该工具支持文件传输，无人值守、剪切板同步、远程语音、远程摄像头、多显示器支持。假设内网渗透中，你已经拿下了一个目标靶机，此时想远程桌面它，那么你就可以考虑使用这个工具。当我们运行 GoToHTTP 后，它会自动在运行目录下生成一个配置文件，叫。0x02：GoToHTTP — 获取远程桌面实操。0x0201：上传并运行 GoToHTTP。0x01：GoToHTTP — 工具介绍。0x01：GoToHTTP — 工具介绍。0x0203：远程连接靶机。

首先需要说明，本文介绍的思路，在最新版的 ToDesk 中已经全面失效了（笔者测试过了），不过笔者觉得这里的思路不错，所以还是留下了它。不同于我们前面讲解 “向日葵” 的思路，ToDesk 的验证码我们无法直接破解，但是我们却可以。本文的思路，对于旧版 ToDesk，在远程连接前都是可用的，当我们开始要远程连接目标时，会出现 “目标版本过低，无法连接” 的情况。如上，可以发现靶机的临时密码已经换成我们已知的了，此时只需要输入我们前面获取的靶机设备码，和我们已知的临时密码就能远控靶机啦。

那么本章，笔者就来教你如何通过 “向日葵” 强制获取目标的 “远程桌面”，为后续必要的渗透起到环境支持的作用。本章是内网 “横向移动” 的前导篇，通过前期的渗透，我们已经摸清了目标内网的结构，并且已经建立起了稳固的据点。低版本的 “向日葵”（如 11.1 版本），攻击者可以修改它的注册表使其静默运行，然后通过各种手段读取它的配置文件，进而破解上面提到的两码，然后远控。众所周知，想要通过 “向日葵” 进行远程控制，就需要获取目标的 “识别码” 与 “验证码”。此外，还支持 ”断点续传功能“。

所以，以往的例如：Windows 7，Windows 8，Windows Server 2008R2 和 Windows Server 2012 也可以更新该补丁后获得上述安全保护机制。我们可以通过下面这条命令，修改本机的注册表信息（Windows Server 2012 之后，这条配置是默认的），让内存中不允许直接存储明文密码。这些只能起到辅助作用，根除不了密码抓取的威胁。这个方法是针对 “域” 密码抓取的防范，且只在 Windows Server 2012 以后的版本有效，之前的版本是无法配置的。

example]- HashCat 工具获取本地资源：[[Hashcat-6.2.6.7z]]HashCat 是一个密码恢复工具。直到 2015 年，它都有一个专有的代码库，但随后作为开源软件发布。版本适用于 Linux、OS X 和 Windows。HashCat 支持的哈希算法包括 LM 哈希、MD4、MD5、SHA 系列和 Unix Crypt 格式，以及 MySQL 和 Cisco PIX 中使用的算法。

出现上述问题的原因，是因为，微软也觉得，直接将明文密码保存在内存中确实不太安全，所以就从 Windows Server 2012 开始，内存中默认就禁止保存明文密码了。只是修改注册表还不行，我们还需要用户重新登录一遍，这样内存中才会留下用户的明文密码。那么它是咋禁止的呢？其实就是通过注册表的一个配置，下面笔者就教你咋修改配置，重新抓取到明文密码，该方法在 Windows 10 上依旧有效。0x01：Server 2012 密码抓取 — 问题导入。0x01：Server 2012 密码抓取 — 问题导入。

RDP 即 “远程桌面” 服务，当我们使用当前机器远程登录其它机器时，会出现下面这样的界面：如果你嫌每次登录都要输入密码很麻烦，点击了 “记住我的凭据”，那么系统就会通过 MasterKey 将我们的登录密码加密后保存到本地。由于后续 Windows 还需要解密该密码从而完成自动登录，所以加密过程是可逆的。因此，我们只要拿到 MasterKey 就能将密码逆向破解出来。

在前面章节中，我们已经介绍了如何通过 “在线”、“离线” 的手段抓取 Windows 的密码，主要是使用的 Mimikatz 这款工具。WCE（Windows Credentials Editor）是一款功能强大的 Windows 平台内网渗透工具，该工具支持 Hash 注入攻击与用户账户的 NTLM Hash 提取。GetPassword 是一款 Windows 密码抓取工具，通过它我们能很轻易的抓取到 Windows 的明文密码（可能是太小众的原因，我都没找到它的官网）。

🌟在一个 Windows 机器中，除了系统登录密码外，其实还有很多其它的密码信息。比如浏览器中存储的密码、Cookie、本地数据库密码信息等。那么本章，笔者就介绍几个专门用于抓这些密码信息的工具。0x0101：BrowserGhost 工具介绍BrowserGhost 支持从 Windows 系统的其它用户账户中提取浏览器保存的密码（如 Chrome、IE 等），方便渗透测试中的横向移动凭据采集。该工具可解密 Chrome 80 版本后的密码加密机制，兼容最新版浏览器。

如果你不想手动上传 mimikatz.exe，那你也可以使用 Cobalt Strike 内置的 mimikatz，使用内置的 mimikatz 时是可以不用加 exit 的。这里所谓的 “在线”，是指将工具直接丢到目标电脑上，远程读取 SAM 文件 & Lsass.exe 进程中存储的密码。先说明一下，笔者还是建议通过之前介绍的 “离线方式” 进行密码抓取，这种在线方式动静很大，如果对方安装了安全设备，很容易就会发现。就足够了，其余的那些也没有啥介绍的必要，都被包含在上面的命令中了。

0x01：离线读取 SAM & System 文件获取密码🌟本章我们将介绍如何通过离线读取的方式，完成 Windows 密码的抓取。这里所谓的 “离线”，是指当我们控制了一台靶机后，尝试将 SAM 文件或者 Lsass.exe 进程导出后，放到攻击机中再进行密码的读取。攻击机（Kali Linux）：172.16.0.103 - 安装了 Cobalt Strike 服务端和客户端靶机 （Windows Server 2008）：172.16.0.120。

通过分析 Windows 本地认证流程，我们发现了，在认证过程中，Windows 会在 Lsass.exe 进程中存储一份明文密码，然后 Lsass.exe 会将这个明文密码转化为 NTLM Hash 并与本地 SAM 文件中的内容进行对比，最终决定用户是否能够成功登录。本文并不会介绍啥特别的技术，主要是起到一篇承上启下的作用，让我们明确后面学习的目标，让我们知道为啥要学 ”密码抓取“ 这个技术，学了它，我能干啥。拿到了目标机器的 NTLM Hash，我们是可以通过 Hash 传递攻击直接利用的。

白银票据的利用，笔者在实战中发现，以普通域内用户和本地的 System 用户伪造的白银票据利用范围都不太一样，比如同样是伪造 CIFS（共享文件服务）的票据，普通域内用户只能查看目标的目录（不一定哈，在后面的实验中，笔者被自己打脸了，普通域内用户也可以复制），而 System 用户就可以进行复制，比较抽象，希望大家实战时自己总结一下。那么笔者这里不卖关子了，直接说了。白银票据的本质是伪造一个 TS（指定地方的门票）拿着 TS 你只能去指定的地方，比如你买的动物园的票，你就不能去其他地方，相当于是。

Client 在与 TGS 的交互中，有了黄金票据（TGT）之后，就会自动跳过 AS 的验证即不用验证你的身份（账号和密码），然后你就可以拿着这个伪造的 TGT，去 TGS 申请任意服务，比如 ”域控的访问权“，而由于 TGT 签名是采用 Krbtgt 这个账户的密码签名的，所以即使域管改了密码，你也依旧可以拿着 ”黄金票据“ 进域控。如上，通过黄金票据，我们能轻易伪造通向域中任意计算机（包括域控）的通行证，只要目标的 Krbtgt 账户密码不更改，我们就能对这个域拥有绝对的控制权。

此时客户端会用自己的密钥将第二部分内容解密，获取时间戳、自己将要访问的 TGS 的信息以及用于与 TGS 通信的密钥 CT_SK。服务端收到来自客户端的请求，使用自己的密钥，将客户端发送来的 ST 部分进行解密，核对时间戳后将其中的 CS_SK 取出，使用 CS_SK 将客户端发来的第一部分内容进行解密，从而获得经过 TGS 认证过后的客户端信息，此时他将这部分信息和客户端第二部分内容带来的信息进行比对，最终确认客户端就是经过了 KDC 认证的具有真实身份的客户端，是他可以提供服务的客户端。

当 Server 收到这个消息时，会首先在本地查询是否存在这么一个用户（Blue17），如果用户存在，Server 将会生成一个 16 位的随机字符，即 Challenge，然后用查询到的这个 User 的 NTLM Hash 对 Challenge 进行加密，生成 Challenge_Result，然后 Server 将 Challenge_Result 存储在本地，将 Challenge 传递给 Client。从前面抓包可以发现，其 Challenge 为十六位，证明采用的是 NTLM v2 协议。

Windows 本地账户的登录密码是存储在系统本地的 SAM 文件中的，在登录 Windows 的时候，系统会将用户输入的密码与 SAM 文件中的密码进行对比，如果相同，则认证成功，你就可以登录了。SAM 文件存储在系统的目录下，该文件用于存储本地所有用户的凭证信息。

也就是说，当你的机器加入域后，成为域成员主机后，系统会自动将域管理员组成员添加到本地系统管理员组中，因此域管理员组的成员就都可以访问本地计算机，而且具有相当高的权限。PVEDFindADUser.exe 可用于查找 Active Directory 用户登录的位置，枚举域用户，以及查找在特定计算机上登录的用户，包括本地用户、通过 RDP 登录的用户、用于运行服务和计划任务的用户账户。将上面提供的压缩包解压，找到解压后文件夹中的 psloggedon.exe，上传到靶机中，然后就可以通过命令行使用它了。

在前面的章节中，笔者介绍了如何收集域内基础信息，以及如何定位域控。在本章中，我们将学习如何收集域内用户的基本信息，对域环境中的用户权限有一个大致的了解。

在前面的章节中，笔者介绍了如何收集域内基础信息，这一节我们将学习如何定位域中的域控。这也是我们最终渗透的目标，如果你拿下了域控，代表目标内网已经完全被打穿了，你可以在任何机器中畅行无阻。在实际的网络中，一个域内通常会存在两台或两台以上的域控制器，其目的是，一旦主域控制器发生故障，备用的域控制器可以保证域内的服务和验证工作正常进行。，不过一般域控是开了防火墙的，可能会 Ping 不同。，此时可以通过 DNS 查询来获取域控 IP。0x01：nltest 定位域控。0x01：nltest 定位域控。