某年信息安全铁人三项赛域控内网渗透测试题目,题目包含三个靶机及多个flag。提交最终域控上的flag提交即可完成此题。...:WIN-JDS94C5QEQQ.test.com Windows Server 2008 R2 Standard 7601 Service Pack 1 可见192.168.60.100是域控...IP,同时发现也存在永恒之蓝,现在就是俩思路了,一个是正常域控思路,一个就是利用搭建代理打永恒之蓝 先说正常域控思路,先用mimikatz导出用户凭据 log privilege::debug //...1usS4+^I& ssp : credman : mimikatz # 找到了一个test域的administrator用户和密码,再远程桌面连接域控机器 administrator...administrator/topsec.123 admin/1q2w3e4r 这里查看172.25.0.123机器网卡发现和另外一个机器【MS17-010】是不通的 参考 记录一次坎坷的打靶经历·四(附靶场地址-内网、域控
作战前言 在一次渗透中,打算遇见域环境的话不能靠窃取进程这种骚操作来打,只能使用域渗透的姿势:委派、spn … 这些操作来打。 规划 要求:拿到内网核心数据,以及人员架构,梳理分析,域内成员分析。...总体分为以下阶段: 入口权限维持阶段 核心人员定位 重要业务定位 用户日志分析 域内后门持久化 痕迹清理 域渗透阶段 域渗透过程 找到 Weblogic 执行命令的口子 首先是找到了一个 Weblogic...再查看当前域控是哪些机器,然后定位域控的 IP: net group "Domain Controllers" /domain xxxDC1$ 192.168.0.6...由于当前 ip 是 10 这个网段,而域控是 192 这个网段,猜测会有多网段: ? 由于当前进程是有域管进程的,可以直接拿到域控,我之前写的文章也讲过怎么拿,在这里几句不多阐述。 ?...们都了解内网域渗透的攻击手法和原理!
net view /domain 查看域 net view /domain:域名称 查看域下用户 net group “domain computers” /domain 查询所有域成员计算机列表...“domain admins” /domain 查询域管理员用户 域管用户大概10多个 net group “Domain Controllers” /domain 查询域控 得到DC1的ip为192.168.21.3...,DC2的ip为192.168.21.108,且都在我拿到权限的这个机器的域内,我的直觉告诉我我拿到这个机器只是一个子域,往上还有更大的域 这里既然找到了域控,先看一下能不能利用gpp组策略 dir...这就很恐怖了,所以这里我没有打草惊蛇去登录它的远程桌面,这里我想的是用cs联动bloodhound进行更详细的分析,但奈何现在bloodhound还用得不太熟,就此作罢 后记 我想说的还有一个点是在内网渗透的过程中思路一定要清晰...,但是也没有想到这个域有这么大,我拿下的可能是主域下一个很小的域,因为这个域是在是太庞大了,需要耗费巨大的精力和时间去研究,而且现在有些地方知识也储备得不是很足,如果有师傅想继续往上研究的话可以联系一下小弟
火绒工程师远程排查后,发现有黑客团伙曾通过域渗透,获取了域内管理员的账户密码并登录域控服务器,再借助黑客工具找到并进入具备高价值信息的服务器,向其中植入后门病毒。...图:火绒拦截黑客工具和病毒的日志 火绒工程师溯源分析,黑客获取域管理账户密码登录域控服务器后,使用AdFind工具获取域内所有终端的信息,再借此将一款窃密木马发送至域内终端的c:\windows目录中,...其中,AdFind工具可以帮助黑客获取企业域内信息,筛选重要服务器;psexec工具则常被用以内网渗透,如投放后门病毒。 ?...事实上,域管理拥有能帮助企业进行合理分配权限、优化管理成本、提高信息安全性的特点,很多大型企业、工厂等均会采用域控制来进行统一管理,这也导致域渗透成为黑客攻击企业获取不当利益的主要原因。...对此,火绒工程师建议除了增强管理员密码强度以外,还可以在安装部署火绒后,开启“远程登录防护”和“终端动态认证”,直接阻断黑客获取域管理员密码后,企图登陆域控服务器的行为。
域内信息收集 net view /domain 查看域 net view /domain:域名称 查看域下用户 ?...net group “Domain Controllers” /domain 查询域控 得到DC1的ip为192.168.21.3,DC2的ip为192.168.21.108,且都在我拿到权限的这个机器的域内...这里既然找到了域控,先看一下能不能利用gpp组策略 dir \\\\主机名\\NETLOGONdir \\\\主机名\\SYSVOL 这里看了一下两台主机虽然都有vbs和bat,但是bat里并没有有用信息可以利用...还用得不太熟,就此作罢 后记 我想说的还有一个点是在内网渗透的过程中思路一定要清晰,要做好信息的整合,当你收集到一些有用的信息时就要及时的整理好,不然到后面再去找就会很麻烦,比如hash、spn、wmic...当时在扫子域名的时候我就预感到这个域不会是很小,但是也没有想到这个域有这么大,我拿下的可能是主域下一个很小的域,因为这个域是在是太庞大了,需要耗费巨大的精力和时间去研究。 ?
,那么域控服务器可以实现什么功能?...有域控服务器还需要堡垒机吗? 域控服务器可以实现什么功能? 域控服务器在很多公司以及学校里面还是比较普遍的,很多人会问域控服务器可以实现什么功能?...域控服务器可以将多台电脑的账号密码存储在服务器中统一管理,在这些电脑使用的时候,需要服务器进行验证,验证通过之后才可以正常使用,而且域控服务器还可以实现文件共享,服务器内部的文件可以分享到管理的每台计算机...有域控服务器还需要堡垒机吗? 除了域控服务器之外很多人肯定都听说过堡垒机,那么有域控服务器还需要堡垒机吗?...关于有域控服务器还需要堡垒机吗的文章内容今天就介绍到这里,域控服务器虽然操作简单但是功能还是比较少的,如果大家有这方面的担心的话最好还是选择使用堡垒机。
完整的域内应用访问流程如图所示,首先由客户端向域控发起认证请求,域控验证用户是否属于合法域用户,若合法则由域控响应主机请求分发TGT认证票据(黄金票据可伪造TGT),拿到证书后主机可以继续请求访问域内的应用服务...,若权限符合域控会返回允许主机访问域内某应用服务的TGS票据,主机拿着TGS票据访问对应的应用服务,该应用服务器验证TGS通过后主机即可顺利访问应用服务 ?...通过这些策略可以获取更多相关域的信息。 ---- 1.SYSVOL SYSVOL是存储域公共文件服务器副本的共享文件夹,在域中所有的域控制器之间复制。...因此黄金票据攻击测试本身就是个无解的死循环,所以他并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到域管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时...---- 八、提取域控NTDS hash文件 拿到域控账号后,由于各种原因没法直接登录域控。此时通过webshell来执行命令,在普通域设备上获取域控的ntds hash核心用户数据。
(DC)主机定位 利用DNS记录 原理:域控服务器会向DNS服务器注册DNS记录,以便当客户端需要加入域或者和域有其他交互的时候,可以找到它。...值得注意的是,使用nslookup的时候,DNS服务器必须是内部DNS,否者是查询不到记录的,因为域控服务器只会向内部DNS服务器注册这个记录。...大多情况下,内部DNS服务器和AD域控服务器默认部署在同一台服务器。如果是这种情况,找到DNS服务器就能找到了域控服务器。 nslookup set type=all ldap.tcp.dc....如果本机未加入域控: 1.端口扫描,域控服务器会开放389端口, 如果和DNS同服务器,那么也会有53,域控制器兼顾整个域的认证服务,所以会开启很多认证端口。...如果域控运行这打印机服务,那么我们可以直接将MS-RPRN请求RpcRemoteFindFirstPrinterChangeNotification(Kerberos身份验证)发送到DC的打印服务器
AD域服务 AD活动目录: 是Windows Server系统非常重要的目录服务。 命名空间[Name Space]: 是一个界定好的区域。在此区域内,我们,可以利用某个名称找到此名称有关的信息。...AD的结构 逻辑结构 架构; 域:由网络管理员定义的一组计算机集合,就是一个网络。...组织单位:Organizational Unit [OU] 包含在目录活动中的窗口 域目录树:搭建包含多个域的网络,以域树[Domain Tree]的形式存在 域目录林:[Forest]是一个由多个域树所组成的...全局编录服务器:[Global Catalog]GC 全局编录服务器是一个DC,他保存了全局编录的一份副本。 AD域相关概念
IP(不配也可以,忽略后面的静态IP的告警即可) 3、powershell安装dotnet Get-WindowsFeature net-*|Install-WindowsFeature 4、配置域控...citrixlab.local 第3句命令里的数字,你域控是2012R2系统就取6,是2016/2019/2022就取7 信息(密码、域、系统代号)替换成自己的 图片.png Install-ADDSForest...LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL" -Force:$true 5、域控配置好以后...图片 6、在控制台修改VPC的DNS,把域控的内网IP加到前面,并重启域控机器(如果不统一改整个vpc的话,单台机器要入域的话,第一个dns需改成域控机器的内网IP才行) 图片.png 7、...(运行sysdm.cpl,更改 → 隶属于) 图片.png 入域后就可以用第5步里设置的域用户登录了
域渗透之导出域Hash 前言 网上采集了一些域内导出NTDS.dit文件的方式 Hash 值存储在域控制器中(C:\Windows\NTDS\NTDS.DIT) Mimikatz Mimikatz有一个功能...渗透测试中可以用它来拍摄 ntds.dit 文件的快照 # 创建快照 ntdsutil snapshot "activate instance ntds" create quit quit GUID 为...module_source/credentials/Invoke-DCSync.ps1')";Invoke-DCSync -PWDumpFormat > hash.txt 通过NinjaCopy获得域控服务器...home/workspace/hash/hash.txt 使用 Ntdsutil、Vssadmin 等卷影拷贝工具时,需要先开启 Volume Shadow Copy Service 服务 参考 [域渗透...]导出域用户Hash方法总结 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/119832.html原文链接:https://javaforall.cn
目标:拿下域控 “安全练兵场”星球计划 第一阶段:基于“红日团队”红蓝攻防实战模拟的 ATT&CK 攻击链路进行搭建的靶场,鼓励大家由学习阶段到实战阶段的过渡,从练兵场中的实战成长。...,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术; ATT&CK红队评估实战靶场三 本次环境为黑盒测试,获取域控中存在一份重要文件...; ATT&CK红队评估实战靶场四 本次靶场渗透反序列化漏洞、命令执行漏洞、Tomcat漏洞、MS系列漏洞、端口转发漏洞、以及域渗透等多种组合漏洞; ATT&CK红队评估实战靶场五 主要包括常规信息收集...、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等; ATT&CK红队评估实战靶场六 本次涉及内容为从某CMS漏洞然后打入内网然后到域控,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习...; ATT&CK红队评估实战靶场七 主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等; 预期目标 熟悉由外网渗透到内网漫游的流程及攻击手段; 逐渐掌握对Kali工具的运用和优化
如果做过大型服务器的windows运维的朋友可能会了解到域控,使用它方便我们对域内主机的进行安全统一的管理;(想要更深入了解请百度百科) AD的基础概念: AD是微软实现的目录服务,基于X.500工作在应用层...有的时候windows Server 版本不同,有的命令会不存在,所以多一种方法多一种成功的可能性,实际渗透自行根据目标环境变换; 学习参考:https://pentestlab.blog/tag/ntds-dit...1.判断域 首先要判断所控主机是否在域内: net share #查看是否存在syslog set log #判断当前登陆服务器 LOGONSERVER=\\DESKTOP-OVF3TEN...#域及登陆服务器项 ipconfig /all #注意DNS是否是内网的地址 netsh interface ipv4 show dnsservers.../dsgetdc:域名 # 定位域控 > nltest /dclist:domain-a #或者使用dc列表其中pdc是主域控 > nltest /domain_trusts 可以列出域之间的信任关系
配好域控制器后,配置域控时间同步分为两步:第一步,为域控服务器配置与腾讯云NTP Server的时间同步;第二步,通过组策略实现域内成员同步域控服务器的时间。...NTP(在域控上操作) 添加时间服务器地址(域名或IP)(下面这个键存放着时间服务器列表)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion...二、配置权威服务器及组策略 1、设置权威服务器(在域控上操作) reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v "AnnounceFlags...“Default Domain Policy”下添加时间同步策略,将会导致域控服务器也获取并执行策略,由于组策略的优先级较高,导致第一步配置的与腾讯云NTP同步策略失效。...使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式,对除了域控服务器以外的计算机下发该策略,确保所有成员时间准确。
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。...最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。...该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。...tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
域渗透实战之Monteverde信息收集:端口扫描使用nmap去探测端口,发现开放了53,88,139等多个端口。接着去识别其端口对应的版本。SMB未授权使用smbclient 去尝试未授权访问。...总结:Azure AD Connect 数据库漏洞 (Priv Esc)简介Azure AD Connect 服务本质上负责同步本地 AD 域和基于 Azure 的域之间的事物。...可以在安装了 Azure AD Connect 的服务器上运行一些简单的 .NET 或 Powershell 代码,并立即获取其设置使用的任何 AD 帐户的纯文本凭据!...AD 中分配了全局管理员角色的 Azure 帐户Azure AD 连接首先,您需要在 Azure AD 中设置一个具有全局管理员权限的帐户,这可以通过管理门户轻松完成:创建帐户后,我们需要在有权访问域的服务器上安装...通常SeDebugPrivilege仅适用于本地管理员,这意味着您需要获得服务器的本地管理员访问权限才能修改正在运行的进程。
设置域控的ip如下,DNS就设置为域控ip(后面会在域控上搭建DNS服务) ?...安装域控和DNS服务 打开Windows 2012 R2的服务器管理器,点击 添加角色和功能,然后一直点下一步直到 服务器角色 ?...选择 Active Directory 域服务 和 DNS 服务器,然后一直下一步,最后安装 ? ? 提升服务器为域控 右上角的三角形符号-将此服务器提升为域控制器 ? 添加到新林并设置根域名 ?...对于 无法创建该DNS 服务器的委派 的警告可以忽略,点击安装 ? 将主机(win7)注册到域 首先测试能否解析域名以及ping通域控,如不能则检查是否DNS设置为域控,防火墙是否禁ping ?...在修改主机名的地方修改所属域 ? 输入域控服务器的登录账号密码 ? 如果一切正常将会提示成功。然后重启 ? 创建AD域用户 ? ? ?
域渗透实战之Resolute 信息收集 端口扫描 使用nmap去扫描端口,发现存在53、125、139、445等端口开放。 接着去收集它的版本。...在本例中,我们对服务器对象感兴趣,其 ACL 在全新安装时应如下所示: DNS 服务器对象的默认 ACL 默认情况下,只有 DnsAdmins、域管理员、企业管理员、管理员和企业域控制器拥有对此对象的写入访问权限...,对 DNS 服务器对象没有特殊权限(通用读取除外,该权限授予 Windows 2000 之前的兼容访问组的所有成员,默认情况下包含域用户组),该命令失败并显示拒绝访问消息。...虽然这表明如果您是 DnsAdmins 的成员,则可以接管域,但它不仅限于此 — 成功实现此技巧所需的只是一个对 DNS 服务器对象具有写入权限的帐户。...根据我的经验,这些对象的 ACL 通常不像域管理员(或受 AdminSDHolder 保护的类似组)的 ACL 那样保持干净或受监控,因此为小范围的域特权提升提供了很好的机会。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
