通向域控思路总结

一、渗透路线的确认

1、DMZ区的一般是一些虚拟化的服务器；注意流量不能过大；流量加密；

2、维护好入口点；

3、寻找另一台跳板机；

4、判断当前所处的位置，如果在DMZ，可以注意寻找多网卡主机，出DMZ；

5、利用在服务器中搜集到的账号密码，尝试枚举连接LDAP等，并尝试获取域内普通用户权限；

6、进一步的信息收集，包括SPN扫描，和所获取的域用户权限获取域信息，以及周围主机信息；

7、利用常规渗透手法拿下域控：委派、非约束委派，CVE漏洞、定位管理员、PTH、令牌窃取等

二、CVE漏洞利用

• CVE-2020-1472 Zerologon：攻击者在通过NetLogon（MS-NRPC）协议与AD域控建立安全通道时，可利用该漏洞将AD域控的计算机账号密码置为空，从而控制域控服务器。
  

  
  

• CVE-2021-34527：域控环境下使用普通权限域账户实现RCE反d
• MS14-068
• CVE-2021-34473 && CVE-2021-34523
• Exchange->DC

三、常用渗透手法

• 约束委派、非约束委派
• 组策略利用与横向移动：PTT、GPP泄露密码、组策略下发应用（针对比如Ping不通的主机）
• 金票：同KDC交互，但不同AS交互；
• 银票：不同KDC交互，直接访问Server。
  

  
  

  也就意味着，在KDC上没有日志，但需要解决Server上日志的问题；

四、权限维持

• Skeleton Key
• 金票、银票
• DSRM域后门
• 赋予域内普通用户DCSync权限
• 常见的Windows维持权限手段等

---

主要是思路，有一些还是值得借鉴的，大佬轻拍

加油 : )