一步步获取你的核心权限(3)

尝试连接数据库，失败！！

通过这收集到的密码，再做成密码字典，开始爆破C段的RDP、mysql、sqlserver、ftp等服务：

爆破后，发现是当前服务器的administrator密码，通过之前的端口信息收集发现开放了3389端口，可以远程登录。

还是继续进行信息收集，查看当前服务器是否是域内机器，若存在域就相对好很多。执行:

net time /domain

发现是存在域的。查看一下域控机器：

net group “domain controllers” /domain

获取一下域控的IP地址：

目前知道当前的机器在域内，并有了服务器的管理员权限。可以尝试通过导出hash的方式获取域账号信息，再进行PTH。因此，直接远程连接，右键导出lsass.exe进程的dump文件，再上传免杀的mimikatz进行读取，但最终读取失败：

看来只能通过其他方法了，联想到前不久爆出的NetLogon权限提升漏洞，可以尝试一下，毕竟时间过得不久，可能都还没打补丁。

使用github上的搜到的脚本尝试一下，先验证是否存在漏洞：

python3 zerologon_tester.py DC 10.100.1.231

返回success，表示存在漏洞。

使用cve-2020-1472-exploit.py将机器账户重置：

使用DCSync导出域内所有用户凭据：

通过wmic进行pass the hash，可拿到域控制器中的管理员权限：

至此，已经拿到核心权限了，截了个图，赶紧恢复一下机器账号的密码，不然脱域问题就大了。

先导出SAM数据库文件，下载回来后，记得删除：

通过sam等文件获得原ntlm hash：

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL