五、域用户hash提取

域用户帐户以域数据库的形式保存在活动目录中，ntdsutil.exe是域控制器自带的域数据库管理工具，从windows 2008就默认自带了，因此我们可以通过域数据库，提取出域中所有的域用户信息，在域控上依次执行如下命令，导出域数据库：

Ntdsutil –snapshot—activate instance ntds—create—mount {guid}—copy 装载点\windows\NTDS\ntds.dit d:\ntds_save.dit

图13

域数据库装载完毕，即可进行复制，如下图：

图14

最后执行unmount {guid}—delete {guid}–quit删除装载点即可，避免被发现，接着上传工具QuarksPwDump到域控制器上，然后执行如下命令，成功提取用户hash，如下图：

QuarksPwDump –dump-hash-domain –ntds-file d:\ntds_save.dit

图15

注意上面的操作必须在域控制器上，否则会出现如下错误，这是因为打开域数据库需要用到相应的数据库引擎，如下图：

图16

除了上面的操作方法外，还可以使用mimikatz一条命令，获取域控制器上所有用户的hash：

mimikatz log “privilege::debug” “lsadump::lsa /patch”

图17

六、票据传递攻击

域中每个用户的Ticket都是由krbtgt的密码Hash来计算生成的，因此只要我们拿到了krbtgt的密码Hash，就可以随意伪造Ticket，进而使用Ticket登陆域控制器，使用krbtgt用户hash生成的票据被称为Golden Ticket，此类攻击方法被称为票据传递攻击。

首先，我们来生成Golden Ticket，这里需要修改相应的域管理员账号、域名称、sid值，如下图：

图18

接着我们使用如下指令导入票据：

图19

导入成功后，我们在域成员主机上执行klist，即可查看缓存的票据，如下图：

图20

最后，我们就可以使用票据传递攻击，登陆域控了，如下图：

图21

因此，在域渗透过程如果发现域管理员的密码已经修改，可尝试利用krbtgt用户的历史hash来进行票据传递攻击，krbtgt用户的密码一般不会有人去修改。

此外，域渗透过程中可能会使用到MS14-068这个漏洞，微软给出的补丁是kb3011780，在server 2000以上的域控中，如果没有打这个补丁，那么情况将比较糟糕，利用该漏洞可以将任何一个域用户提权至域管理员权限，危害极大。

[出自:jiwo.org]