尘玥的故事

机器A（域控）访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，一起发送给机器B，机器B会把TGT存储在lsass进程中以备下次重用。adfind 工具使用的结构如下:其中 switches 是连接参数，-b 是指定要查询的根节点 basedn，-f 是指定过滤的条件，attr 是指定要显示的属性。该选项是连接参数，如果adfind在域内主机上运行，则无需该选项，如果是域外机器上执行，则需要指定域控和提供一个有效的域用户和密码。，该地址下载工具不需要压缩包密码。

​ Windows域环境是基于微软的活动目录服务工作的，它在网络系统环境中将物理位置分散、所属部门不同的用户进行分组，集中资源，有效地对资源访问控制权限进行细粒度的分配，提高了网络环境的安全性及网络资源统一分配管理的便利性。在域环境中运行的大量应用包含了多种资源，为资源的合理分组、分类和再分配提供了便利。微软给域内的每种资源分配了不同的服务主体名称(Service Principal Name, SPN)

Golden ticket的作用是可以生成任意用户的tgt,那么问题就来了,是什么条件能够让他生成任意用户的tgt呢？ptt攻击的部分就不是简单的NTLM认证了，它是利用Kerberos协议进行攻击的，这里就介绍三种常见的攻击方法：MS16-068，Golden ticket，SILVER ticket。silver ticket和golden ticket不同的是,它不需要和域控制器进行通信，原理是伪造TGS，使用的是计算机账户的hash进行加密的，所以只能访问指定的权限。构造PAC也是这个漏洞的根本。

能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试，Mimikatz 的使用通常需要管理员权限，因为它需要访问系统的核心进程和内存。注意：当目标为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码。

它可以使任何程序通过代理上网， 允许TCP和DNS通过代理隧道， 支持HTTP、 SOCKS4和SOCKS5类型的代理服务器， 并且可配置多个代理。ProxyChains通过一个用户定义的代理列表强制连接指定的应用程序， 直接断开接收方和发送方的连接。ProxyChains 是一个强制应用的 TCP 连接通过代理的工具，支持 Tor、HTTP、与 Socks 代理。与 sshuttle 不同的是，ProxyChains 只会将当前应用的 TCP 连接转发至代理，而非全局代理。

反向连接是控制主机监听一个端口，由受害主机反向去连接控制主机的过程，适用于受害主机出网（或出网且没有公网ip）的情况。例如，受害主机是一台位于内网，并且没有公网ip且能访问互联网的主机，控制主机无法直接通过ip地址访问到受害主机。例如下面，受害主机具有公网ip，被控主机kali可以通过ip地址访问到受害主机，所以能够使用正相连接来控制受害主机。正向连接是受害主机监听一个端口，由控制主机主动去连接受害主机的过程，适用于受害主机具有。由于正向连接是被攻击者主动连接攻击者，所以不受防火墙策略的限制。

frp是一个专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到公网。两个内网直接相互通信

1、下载安装 curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall。#以后启动msfconsole，都切换到msf用户下启动，这样会同步。#切换到msf所在的目录 ./msfconsole。

背景介绍：域控通过组策略设置防火墙规则同步后，域内用户主机被限制TCP出网，其中规则为出站规则，安全研究者通过入站取得SHELL权限，需要对其进行上线控制。windows主机用工具把传输的tcp协议数据转为icmp协议数据（向下兼容）进行传输到攻击主机的特定端口（你设置的监听端口）协议参考链接：https://www.cnblogs.com/fzz9/p/8964513.html。msf启用监听本地的特定端口（你自己设置的那个）设置反向连接的后门连接本地的3333端口。出站：你的服务端去请求别人的服务端。