第122天：内网安全-域信息收集&应用网络凭据&CS 插件&Adfind&BloodHound

前置知识

本文利用资源下载地址

链接：https://pan.baidu.com/s/14yHi80kK7IAXKPAyNDSUvg?pwd=c8j6

提取码：c8j6

域控内主机与平常所用主机的区别，域控内主机是进行统一管理，受到控制机限制，如果你想访问域内的资源，就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

比如安装程序，域控主机安装程序时需要输入管理员的账号密码，而普通用户则不用，域控制机还可以同一下发策略进行系统主机的管理

正常情况下输入whoami，得到的是计算机名/用户名

而域控主机得到的则是域控/域用户名

背景和思路

一个具有一定规模的企业，每天都可能面临员工入职和离职，因此网络管理部门经常需要对域成员主机进行格式化消除磁盘的文件，然后重装系统及软件，以提供给新员工使用；因此，为了便于后期交接，大多网络管理员会做好一个系统镜像盘，统一安装所有的电脑，并且在安装的时候设置惯用、甚至统一的密码。

因此，域中的计算机本地管理员账号，极有可能能够登陆域中较多的计算机，本地管理员的密码在服务器上后期修改的概率，远低于在个人办公电脑上的概率，而域用户权限是较低的，是无法在域成员主机上安装软件的，这将会发生下面的一幕：

在这里插入图片描述

某个域用户需要使用viso软件进行绘图操作，于是联系网络管理员进行安装，网络管理员采用域管理员身份登录了域成员主机，并帮助其安装了viso软件，于是这个有计算机基础的员工，切换身份登录到了本地计算机的管理员，后执行mimikatz（可以获取密码），从内存当中抓取了域管理员的密码，便成功的控制了整个域。

因此，域渗透的思路就是：通过域成员主机，定位出域控制器IP及域管理员账号，利用域成员主机作为跳板，扩大渗透范围，利用域管理员可以登陆域中任何成员主机的特性，定位出域管理员登陆过的主机IP，设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器、渗透整个内网。

域成员主机------>定位出域控制器IP及域管理员账号------>域成员主机作为跳板------>域管理员登陆过的主机IP------>从域成员主机内存中dump出域管理员密码------>拿下域控制器、渗透整个内网