前几天帮朋友弄了个域名。很久没有域名了，感觉快被遗忘了。幸运的是，我终于突破了这

个领域，但不是应朋友的要求以文章的形式写出来的。我简单整理了一些思路和测试过程中遇

到的一些问题和解决方法，分享给大家。期望大家都能从这当中有一定的学习收获！

 

1.利用詹金斯获得外网，默认系统权限，但当前主机不能离开网络，工作组50.1。
 

2.根据nettat-ano网络连接深入分析，发现该机与其他公网连接，特定端口如21、443能够退出

网络。
 

3.因为FeitaFortinet和美国QyfukHeal电脑杀毒软件MSF的存在，流量检测和免杀CS成功上线。
 

4.采用CS中的Mimikatz捕获当前机器弱密码，根据深入分析发现可能存在万能/规则密码问题。
 

5.采集内网信息时，发现有一个工作组和四个域，获取工作组和域内所有机器的主机名、IP地

址等信息。
 

6.用50.1弱密码炸幸存网段，获得9台机器权限，一台50段，一台11段，其余16段。
 

7.psexec穿越后发现16节的两个机器是GALISASINI域的机器，有美国QyfukHeal杀毒。
 

8.就像域内的机器一样，只有特定的端口能够出网，但是没有流量检测，所以可以用MshtaP

ayload上线MSF根据CS。
 

9.从域中的这两台机器收集信息时，成功找到了域管理员用户和域控制器/DNS服务器的主机

名和IP地址。
 

10.在域内16.73的机器上，采用MSF的Mimikatz只抓取了本地管理员和部分域普通用户的弱

密码，试图采用psexec、wsensxc等方式进行横向渗透和域控制，但结果失败，因为目前只

有域普通用户。
 

11.但是最后我们在域内机器16.70的进程列表中发现了两个进程，ssms.exe和oraclecmd.ex

e，它们都是以GALISASINI\Superremit域管理员用户的身份运行的，所以可能存在域管理员

用户的令牌。
 

12.最后，在MSF的string_tongdaos命令中，我看到GALISASINI\Superremit域管理员用户令

牌确实存在。模拟令牌后，我发现弱密码无法捕获。rev1myself恢复原令牌后，直接采用Mi

mikatz捕获GALISASINI\Superremit域管理员用户的弱密码，最终成功获得16.14和16.18域

控制权。
 

13.普通用户在域16.73中的弱密码中找到了常规密码，能够和通用密码Delldc#结合采用！能

够采用@和FileZilla等密码信息生成高精度字典，用于其他幸存网段的爆破测试。因为其他

领域的机器不多，所以到处都是，不要测试其他网段和域。拜拜！