域环境下的渗透

在进行内网渗透，尤其是在比较大型的网络环境下，很可能会遇到域这样一种特殊的网络环境，而在域环境下的内网渗透又将是另外一片天地。

首先还是先简要看一下域的概念吧：

域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即TrustRelation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。


域既是Windows网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows网络操作系统中，域是windows\ntds\ntds.dit中导出所有域用户hash的工具，并能从活动进程中导出hash。而且只要有一个本地管理员权限利用hash注入能开启域管理员进程，方便域渗透。命令行下的东西，看看说明就知道怎么用了。


还可以通过记录域管理员登陆该主机密码来获取信息，这里用到一个小工具：Winlogon

可以截获登陆本机3389的密码，当然了也可以截获域管理员登陆的密码了，至于如何让域管理员登陆此机，有可能需要一段漫长的等待，或许管理员有个固定的周期来登陆例行检查，或者你也可以制造个谎情来欺骗域管理员的登陆，以前就有哥们冒充服务器管理员给域管理员拨通了电话谎称服务器中了病毒无法清除请他来帮忙，域管理员没来得及多想就登陆进来了，结果可想而知，密码成功被记录！当然了，更多的方法还是要靠大家自己去想了，呵呵。


由于Winlogon只能将密码记录在本机，因为不知道管理员什么时候登陆进来，于是我们可以利用网上有人改造过的可以Asp发信的版本，直接将截获的用户名和密码发送至自己的Asp收信地址了。不过好像仅适用于Win2003系统。


使用方法为：运行Loader.exe填入自己的收信地址之后就会生成CreateServer.exe，将Asp传到服务器，然后在肉鸡上运行密码记录器即可，post.asp会在你的URL地址下生成key.txt。

*