ACL ACE在Active Directory 中，每个物件（使用者、群组、电脑、OU 等）都有一个安全描述符（Security Descriptor），其中包含： 12345678910安全描述符（Security Descriptor）├── 所有者（Owner）├── 主要组（Primary Group）├── DACL（自主访问控制列表）│ └── 多个 ACE（访问控制项）│ ├──

非约束委派概念可以模拟用户访问网络上的任何服务 条件: 在服务账户上设置TRUSTED_FOR_DELEGATION 标志(需要 SeEnableDelegationPrivilege 权限) 被委派的用户的TGT是可转发的 流程 123456789101112131415161718Client → KDC (AS-REQ)KDC → Client (TGT)Client → KDC

提取凭据secretsdump1impacket-secretsdump NORTH/jeor.mormont:'_L0ngCl@w_'@192.168.56.22 12345678910111213141516171819202122232425262728293031[*] Target system bootKey: 0x8365b0199c7e93bb5df067d

因为我的环境不是完整的GOAD，所以无法做ADCS漏洞实验，所以跳过来到下一个部分-MSSQL 拉取并运行： ansible-playbook servers.yml以获得最新的 mssql 配置。 这些修改包括： arya.stark 以用户 dbo 身份执行，并模拟 msdb 数据库权限 brandon.stark 模仿 jon.snow 枚举MSSQL服务器Impacket Get

MS14-068MS14-068 简要概述 MS14-068是密钥分发中心 (KDC) 服务中的 Windows，漏洞它允许经过身份验证的用户在其 Kerberos 票证 (TGT) 中插入任意 PAC（代表所有用户权限的结构） 在Windows域中，它允许特权升级（通常是从普通用户到域/企业管理员） KDC服务允许使用没有密钥的算法（如MD4、MD5、SHA1或CRC32），这意味着

ResponderResponder 伪装成目标服务器，受害者计算响应时使用的是 真实的NTLM哈希加密的挑战。 可以使用Responder获得如下信息: 用户名 netntlmv1哈希(如果服务器很旧)/netntlmv2哈希 重定向身份验证的能力(NTLM 中继) 在实验室中，有两个bots来模拟 LLMRN、MDNS 和 NBT-NS 请求，一名用户的密码较弱，但没有管理员

靶场来自vulnhub_breakout 信息收集端口扫描1nmap -Pn -p- --min-rate 10000 -oA nmap/port_scan 192.168.242.42 1nmap -sT -sC -sV -O -p80,139,445,10000,20000 -oA nmap/detail 192.168.242.42 12345678910111213141516PORT

列出用户 在上一部分，我们获得了一些用户凭据 当您在活动目录上获得一个帐户时，要做的第一件事总是获得完整的用户列表 域内的任何普通认证用户，默认都有权限读取 Active Directory 中的绝大多数信息（用户、组、计算机等）。 一旦你得到它，你就可以在完整的用户列表上进行密码喷洒(你经常会发现其他帐户的密码很弱，比如 username=password、SeasonYear!、S

匿名枚举DC某些旧的或配置错误的 AD 允许匿名用户（Null Session）通过 IPC$ 管道查询用户列表或密码策略。 CME1crackmapexec smb 192.168.56.11 --users 我们通过描述获取一些用户，并获得第一个密码samwell.tarly:Heartsbane 还可以获取密码策略 1crackmapexec smb 192.168.56.11 --p

枚举网络使用crackmapexec(cme)扫描netbios协议,可以快速获取所有 Windows机器 IP、名称和域 Windows 机器通常开启 SMB (445端口) 和 NetBIOS (139端口)。通过这些协议，机器会广播自己的主机名、域名和操作系统版本。 12345┌──(root㉿kali)-[/home/kali/GOAD]