任务• 利用 dollarcorp.moneycorp.local 上的 DA 权限，获取对 eurocorp.local 林的 DC 上的 SharedwithDCorp 共享的访问权限。 C:\AD\Tools\Rubeus.exe asktgt /user:svcadmin /aes256:63662...

任务确定目标域中存在域管理会话的计算机入侵计算机并将权限提升至域管理员 - 使用对 dcorp-ci 的访问权限 - 使用派生的本地管理员 C:\AD\Tools\InviShell\RunWithRegistryNonAdmin.bat . C:\...

任务从dollarcorp的DC拿到secrets使用krbtgt账户的secrets 制作一个黄金票据使用黄金票据(再一次)从一个机器拿到 doamin admin 权限 使用管理员权限运行终端C:\AD\Tools\ArgSplit.bat asktgtse...

任务查看student用户是否有Replication(DCSync)权限如果有 执行DCSync攻击拉取krbtgt用户的hash如果没有 添加DCSync权限并执行 . C:\AD\Tools\PowerView.ps1 Get-DomainObjectAcl -SearchBase...

任务调整dcorp-dc安全描述符以不需要管理员可以使用Powershell remoting和WMI从dcorp-dc不使用管理员权限拿到机器账号hash 并且理他区进行银票攻击以拿到WMI代码执行 任务1C:\AD\Tools\Rubeus....

任务使用kerberoast攻击 破解密码找到SQL Server 服务账户 找出以用户帐户运行的服务以及以机器帐户运行的服务. C:\AD\Tools\PowerView.ps1Get-DomainUser -SPN 使用Rubeus得到svcadmin accou...

任务:枚举以下内容在dollarcorp domain:用户计算机域管理员域企业管理员 1. Powerview方式运行 invishell 脚本以避免增强日志记录 否则导入PowerView.ps1会被av拦截C:\AD\Tools\InviShell\RunW...

任务找到dcorp domain 有非约束委派的服务器入侵服务器并升级至域管理员权限 在Objective 7中 我们可以加入dcorp-adminsrvmimikatz  sekurlsa::ekeys68f08715061e4d0790e71b1245bf20b023d0882...

任务枚举以下内容在dollarcorp domain:列出所有OU列出StudentMachines OU所有计算机列出GPO枚举应用在StudentMachines OU的GPO 运行 invishell 脚本以避免增强日志记录 否则导入PowerView.ps1...

任务• 枚举启用了约束委派的域中的用户。– 对于这样的用户，从 DC 请求 TGT 并获取配置了委派的服务的 TGS。– 传递票证并以 DA 身份访问服务。• 枚举启用了约束委派的域中的计算机帐户。– ...