由SQL注入到拿下域控的渗透测试实战演练

前情提要见上篇内容。

本次渗透使用工具：

mimikatz,PsExec

本次渗透网络拓扑图：

上一篇文章中我们讲到我们成功渗透了目标内网中web服务器并提取其管理员明文密码，通过明文密码又成功登陆了内网中的另一台机器（10.0.1.8）

将mimikatz上传到10.0.1.8后运行下列命令进行提权和抓取管理员密码：

privilege::debug
sekurlsa::logonpasswords

发现域管理员账号曾经登陆过这台机器，如果我们能够抓取到他的密码，那么我们就可以完成登陆域控的任务了

但是发现无法像上次一样抓取到管理员的明文密码，因为mimikatz的抓取密码并不是万能的

如果目标机器修改过程注册表中的相关选项或者是Windows server 2012以上版本或者是打KB2871997补丁就会抓取不到明文密码

虽然有密文，但是密文是加盐值加密的，几乎不可能通过暴力破解的方式强行猜出来

所以我们无法向上一篇文章所讲的那样直接通过明文来登录administrator，所以我们接下来要用另一种方法来登录管理员账号：哈希传递

哈希传递的原理其实非常简单，因为winsdows以及现在市面上大多数网站的登陆原理都不是直接校验明文密码，数据库中储存的也不是明文密码，而是经过哈希加密的密文

在用户输入密码时，它们会去校验用户输入密码经过加密之后的值与数据库中储存的值是否相同而不是校验明文

说白了就是windows的登陆原理就是哈希校验，所以理论上只要你是掌握了管理员密码的哈希值就有可能只通过这一个哈希值进行登录

实际上在渗透测试中，哈希传递是一个非常实用和常见的攻击手法

在我们的神器mimikatz中封装了哈希传递的功能

使用以下命令进行哈希传递

sekurlsa::pth /user:administrator /domain:"XXX" /ntlm:61465a991b168727b65b3644aab823cd
domain中填写域的名称

成功执行后会弹出一个cmd窗口，我们尝试用此窗口访问域控

成功访问域控C盘，但是仅仅能够访问不能够我们强烈的渗透欲望

我们可不可以向域控中添加一个自己的账号来登录呢

这里又要用到一个提权工具PsExec，这是windows官方自带的提权工具

因为这里我们已经通过哈希传递登录了域管账号，拥有了域管权限，所以接下来只需要打开一个域控的cmd就可以进行添加用户的操作了

通过

PsExec.exe //域控地址 cmd

在弹出的cmd下用systeminfo查看机器信息，确定是域控的cmd无疑

来打开域控的cmd，接下来就是我们熟悉的套路了

net user haixian abc123456.! /add
net localgroup administrators haixian /add

成功添加管理员账号，接下来就可以进行登陆域控主机，制作黄金票据了，但制作黄金票据之前我们首先要了解什么是黄金票据以及制作黄金票据的意义