内网学习笔记

白银票据（Sliver Ticket） 不同于黄金票据（Golden Ticket） 白银票据不与密钥分发中心 KDC 交互，因此没有了 Kerberos 认证协议里的前 4 步，通过伪造的

白银票据（Sliver Ticket） 不同于黄金票据（Golden Ticket） 白银票据不与密钥分发中心 KDC 交互，因此没有了 Kerberos 认证协议里的前 4 步，通过伪造的

RT 在利用黄金票据（Golden Ticket）进行 PTP 票据传递时，需要先知道以下信息： 伪造的域管理员用户名 完整的域名 域 SID krbtgt 的 NTLM Hash 或 AE

在 2014 年微软修复了 Kerberos 域用户提权漏洞，即 MS14-068，CVE 编号为 CVE-2014-6324，该漏洞影响了 Windows Server

在活动目录中，所有数据都保存在 ntds.dit 文件中，ntds.dit 是一个二进制文件，存储位置为域控的 %SystemRoot%\ntds.dit ntds.dit 中包含（但不限于

将 Exchange 管理单元添加到当前会话中 查看邮件数据库 查询数据库的物理路径 获取现有用户的邮件地址 查看指定用户的邮箱使用信息 获取用户邮箱中的邮件数量，通

利用 SMBExec 可以通过文件共享（admin$、c$、ipc$、d$）在远程系统中执行命令，它的工作方式类似于 PsExec C++ 版 C++ 版项目地址：https://

利用 SMBExec 可以通过文件共享（admin$、c$、ipc$、d$）在远程系统中执行命令，它的工作方式类似于 PsExec C++ 版 C++ 版项目地址：https://

PsExec.exe PsExec 在之前的文章里提到过一次，参见https://teamssix.com/210802-181052.html，今天来着重学习一下。

哈希传递（Pass The Hash, PTH）顾名思义，就是利用哈希去登录内网中的其他机器，而不是通过明文密码登录的方式。 通过哈希传递，攻击者不需要花时间破解哈希值得到明文，在Win

在多层代理的环境中，由于网络限制，通常采用命令行的方式连接主机，这里学习下 IPC 建立会话与配置计划任务的相关点。 1、IPC IPC (Internet Process Connecti

如果已经进入目标网络，但是没有获得凭证，可以使用 LLMNR 和 NetBIOS 欺骗攻击对目标进行无凭证条件下的权限获取。 1、基本概念 LLMNR 本地链路多播名称解析（LLMNR）是一

令牌（Token）是指系统中的临时秘钥，相当于账户和密码，有了令牌就可以在不知道密码的情况下访问目标相关资源了，这些令牌将持续存在于系统中，除非系统重新启动。 1、MSF 在获取到 Mete

SYSVOL 是活动目录里的一个用于存储域公共文件服务器副本的共享文件夹，在域中的所有域控之间进行复制，SYSVOL 在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录域范围内共享

PowerUp PowerUp 可以用来寻找目标中权限配置不当的服务，下载地址：https://github.com/PowerShellEmpire/PowerTools/blob/master/P

在内网中，往往所有主机打补丁的情况都是相似的，因此在拿下一台主机权限后，可以通过查看当前主机打补丁的情况，从而找到漏洞利用点，进而进行接下来的横向、提权等操作。 1、手工发现缺失补丁 sys

相较于前一篇文章介绍的 ew 的年代久远，frp 就好的多了，基本上隔几天就会发布新的版本，最新的一版更新还就在几天前。 在实战中，大家较多使用的也是 frp，frp 项目地址：https:

Socks 代理可以理解成升级版的 lcx，关于 lcx 的用法可以看我之前的文章： https://teamssix.com/year/210528-130449.ht

iodine 这个名字起的很有意思，iodine 翻译过来就是碘，碘的原子序数为 53，53 也就是 DNS 服务对应的端口号。 iodine 和 dnscat2 一样，适合于其他请求方式被