现在您已经开发了该系统，您可能想知道下一步是什么。后利用是下一步，也是我们希望进一步访问内部网络中目标的地方。在本章中，我们将了解如何获得比目前更高的特权。这可能需要通过网络进行进一步的嗅探，同时执行横向移动技术。

在本章中，您将了解不同的后开发技术，以及为什么后开发是渗透测试不可或缺的一部分。您将学习如何构建一个广告实验室，用于测试您的后期开发技能。通过使用可用的工具，您将了解它们的用途以及如何在渗透测试中使用它们，从而确保您可以访问被利用的系统。

随着本章的学习，您将了解以下主题：

• 发现开发后技术
• 准备您的环境
• 开发后工具
• 执行攻击后攻击

要遵循本章中的示例和说明，请确保您具有以下技术要求：

• Kali Linux 2019.1

• 表 3

• Windows Server 2016（评估）

• Windows 10 企业版（评估）

在执行后期开发时，您需要了解许多技术。当您进行渗透测试时，您将利用这些技术。例如，考虑一个场景，您可能会危及无法访问网络上许多资源的标准用户。您的目标（如渗透测试范围中定义的）是获得域支配地位并创建高特权用户帐户。你会如何进步？这就是理解后开发的不同技术的关键所在，因为您将能够看到可以利用的差距，使您更接近您的目标。

我们将在本节中介绍其中一些技术。

一旦破坏了目标网络上的初始主机，就需要开始在环境中横向移动。横向移动是指从一个主机移动到另一个主机以搜索更高权限的帐户、轴心点、敏感数据或简单的侦察的过程。在此阶段，通常使用内置工具以避免检测。诸如 PowerShell 或 WMI 之类的工具通常被列入白名单，并允许在环境中的端点上使用。

凭证采集通常是横向移动期间的主要焦点。它从已被破坏的主机开始，并在您通过网络移动时持续存在。如果您使用诸如密钥记录、内存转储甚至捕获存储凭据的文件等技术，则获取凭据可以为您提供升级路径。大多数组织低估了内置的本地管理员帐户。此帐户可用于跳转到不同的端点。

另一种在网络中移动的方法是利用未打补丁的机器。一些组织在为其员工配置新工作站时不使用隔离环境。当操作系统忙于更新时，您有一个小窗口，其中缺少修补程序，这可以被利用。

特权升级是指寻找获得比当前更高特权访问权限的方法的过程。例如，如果您泄露了一个普通用户帐户，则该帐户可能无法访问域控制器。因此，您需要寻找一个具有访问权限的帐户。domain administrators组中的账户中有一个死亡赠品。

如前一节所述，为了找到高特权帐户，您需要使用横向移动来通过计算机。您将处理可能包含凭据、错误配置的服务、过多的用户权限，甚至是故意不安全的安全措施的文件。

在渗透测试中，企业网络通常需要跨越逻辑边界。逻辑网络边界是网络内的逻辑分离，通常通过将网络划分为不同的子网并通过路由器、交换机甚至防火墙控制对子网的访问来实现。例如，网络将包含可信段、服务器段、非军事段（DMZ）和外部段。受信任区域将是内部网络，它是最受信任的网络，并且可能没有太多限制。服务器段将是一个子网，其中包含各种服务器。非军事化网段拥有面向外部的服务器，外部网段将是不受信任的网络，如互联网。

数据透视是访问在正常情况下无法访问的资源的过程。如果我们考虑前面段落中讨论过的各个段，您可能已经获得了对可信段的初始访问。您现在正在考虑访问服务器段中的特定服务器，但这是不允许从一般受信任网络访问的，它只允许从跳转主机访问，该主机将同时访问服务器和受信任段。获得对该跳转主机的访问将为您提供服务器段的轴心点。

为了演示本章中的各种利用后攻击，我构建了一个基本的Active Directory（AD实验室。您可以使用下图构建与我构建的相同的实验室：

图 1：实验室图

Windows 10 企业评估可从以下 URL 下载：https://www.microsoft.com/en-us/evalcenter/evaluate-windows-10-enterprise 。

Windows Server 2016 评估可从以下 URL 下载：https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2016 。

在服务器操作系统上创建域的设置步骤如下：

1. 安装服务器后，请使用本地管理员帐户登录。

2. 在以太网适配器上配置静态 IP 地址。如果要构建虚拟机，请确保将网络适配器设置为虚拟化软件上的专用网络。

3. 点击开始并搜索PowerShell。然后，右键单击 PowerShell 并选择以管理员身份运行。

4. 打开 PowerShell 后，输入Install-WindowsFeatures -Name AD-Domain-Services -IncludeManagementTools命令。安装该功能后，您将收到一条消息，如下所示：

图 2：安装 AD 域服务

5. 接下来，我们需要设置 AD 林配置。输入Install-ADDSForest -DomainName "pentest.lab" -InstallDNS命令。系统将提示您输入恢复密码；这可以是你想要的任何东西。使用A对所有问题说“是”：

图 3：安装广告林

6. 在此期间，安装将安装许多组件。一段时间后，服务器将重新启动。重新启动后，您将能够使用首次安装服务器时定义的管理员用户名和密码登录。

7. 您可以通过在管理 PowerShell 窗口中发出Get-ADDomain命令来确认域已成功设置：

图 4：验证 Active Directory 信息

如果您喜欢使用图形界面，下面的链接中有一个很棒的博客，它告诉您如何进行此操作：https://blogs.technet.microsoft.com/canitpro/2017/02/22/step-by-step-setting-up-active-directory-in-windows-server-2016/ 。

还有一些其他任务需要完成，您可以使用此处定义的 PowerShell 命令来完成。确保您已使用域管理员帐户登录到域控制器，然后使用 PowerShell 执行以下附加步骤：

1. 我们要做的第一件事是在 AD 中创建一个新的组织单元。你可以随意调用它。在我的环境中，我称之为IT：

New-ADOrganizationalUnit -Name "IT"

2. 下一步是创建用户帐户。您可以通过更改粗体中标记的名称，重复此步骤创建helpdeskagent和serveradmin账户：

New-ADUser -Name "DomainAdmin" -GivenName "Domain" -Surname "Admin" -SamAccountName "DomainAdmin" -UserPrincipalName "DomainAdmin@pentest.lab" -Path "OU=IT,DC=pentest,DC=lab" -AccountPassword(Read-Host -AsSecureString "User Password") -Enabled $true

3. 接下来，我们将创建一个安全组。helpdeskagent将添加到此组：

New-ADGroup "Helpdesk Staff" -Path "OU=IT,DC=pentest,dc=lab" -GroupCategory Security -GroupScope Global -PassThru –Verbose

4. 最后，我们将把不同的用户添加到各自的安全组中：

Add-AdGroupMember -Identity "Domain Admins" -Members DomainAdmin
Add-AdGroupMember -Identity "Helpdesk Staff" -Members HelpdeskAgent

构建域控制器后，您可以将 Metasploitable 3 和 Windows 10 企业虚拟机加入域。确保按照上图设置了静态 IP 和 DNS。

为了模拟我们稍后将讨论的攻击，我配置了以下内容：

• Windows 10 企业虚拟机：此处登录用户为domainadmin。我已将Helpdesk Staff组配置为 PC 上的本地管理员。**** ***** 元表 3：在这里，我已经使用serveradmin和helpdeskagent账户登录。****

******# 开发后工具

后开发是渗透测试的重要组成部分。有许多工具可用于后期开发。了解何时以及如何使用这些工具将有助于您成功地开展利用后活动。

我们将在本节中讨论其中的一些工具。

Metasploit 框架确实有很多功能，我们在本书中广泛使用了它。我们主要关注框架的开发特性。现在，我们将了解利用后功能。Metasploit 提供了许多可用于各种系统的模块。

为了在您的实验室中执行这些攻击，我使用 Metasploitable 3（Windows）虚拟机作为目标。我使用的漏洞是windows/smb/ms17_010_eternalblue，我们在第 5 章深入到 Metasploit 框架中介绍了该漏洞。

让我们看看一些可用的后期开发功能以及它们的用途。

在 Metasploit 框架中，有许多 post 模块跨越不同的操作系统。可通过键入use post，然后按两次选项卡键查看这些内容。Metasploit 将提示您显示所有可能性。在撰写本文时，有 328 个post模块可供使用：

图 5：在 Metasploit 中查看 post 模块

让我们看看您可以使用的一些模块。例如，post/windows/gather/enum_ad_users和post/windows/gather/enum_ad_groups模块将为您提供对广告领域中存在的用户和组的一些了解：

图 6：枚举广告组

在您所利用的目标系统上，您需要确定当前安装了什么。这将有助于确定安全控制，如主机入侵检测或防病毒应用。通过使用post/windows/gather/enum_applications，您将能够看到已安装应用的列表：

图 7：列出当前安装的应用

让我们看看 MeterMeter 中存在的选项。回想第 5 章深入到 Metasploit 框架中，使用 MeterMeter 外壳提供了更多功能。

一旦破坏了系统，您可能希望将 MeterMeter 会话迁移到另一个进程，以避免检测或获得持久性。通过使用 MeterMeter 会话中的run post/windows/manage/migrate命令，可以完成进程迁移：

图 8:MeterMeter 进程迁移

MeterMeter 允许使用额外的扩展类别，如powershell和Mimikatz。可以使用 MeterMeter 外壳的load命令加载这些数据：

图 9：加载仪表模块

通过使用getsystem命令，可以使用 MeterMeter 向本地系统执行权限升级。

此命令告诉 MeterMeter 使用任何可用技术来获取本地系统权限。这些技术是命名的管道模拟和标记提升：

图 10：使用 MeterMeter 升级到系统权限

在本章的下一节中（*执行漏洞攻击），*我们将了解如何使用 MeterMeter 的一些功能来执行漏洞攻击后的活动。

帝国是另一个伟大的工具，可用于后剥削。它是灵活的，并利用安全通信。它使您能够运行 PowerShell 代理，而无需powershell.exe。攻击后模块的范围从键盘记录器到凭证提取工具，如 Mimikatz。

可以通过克隆存储库来安装 Empire。可以使用以下命令执行此操作：

git clone https://github.com/EmpireProject/Empire.git

克隆存储库后，您可以在其目录中使用./install.sh命令安装 Empire。安装完成后，您可以使用./empire命令运行 Empire。

当 Empire 加载时，您将看到主屏幕，其中显示加载的模块、侦听器和活动代理：

图 11:Empire 主屏幕

在拥有活动代理之前，我们需要创建一个侦听器。这是使用listeners命令完成的，然后使用uselistener [type]命令定义要创建的侦听器类型。有多种类型，如http、meterpreter和redirector。

让我们使用uselistener http命令设置一个简单的http侦听器。选择listeners后，您可以使用info命令检查可用选项：

图 12：查看侦听器选项

注意Required字段。默认情况下，您只需要提供侦听器的名称。这可以使用set Name [name]命令来完成。在我的例子中，我给我的听众起了一个名字，就是Metasploitable3。定义名称后，输入execute命令启动侦听器。

帝国司令部区分大小写。使用set name命令无效，您必须使用set Name。

现在您已经设置了侦听器，您需要将 stager 链接到侦听器。这可以通过使用back命令返回监听器配置来完成。要定义 stager，您将使用usestager [stager]命令。您可以按两次选项卡按钮查看 Stager 的完整列表。

我们将使用usestager windows/launcher_bat命令创建一个简单的 windows launcher stager。这将创建可在目标计算机上运行的批处理文件，并将其存储在临时位置：

图 13：使用 Empire 创建 stager

创建 stager 之后，只需在目标系统上运行该文件。一旦你运行 stager，它将连接回帝国并成为代理：

图 14：帝国中的主动代理

为了与代理交互，我们使用interact [agent name]命令。

使用sysinfo命令，我们可以确认我们具有行政诚信。这由High Integrity变量中的1值定义：

图 15：获取远程系统信息

一旦您有权访问代理，就可以随心所欲地执行攻击后活动。

响应者是一种可用于快速获取凭据的工具。它内置于 Kali Linux 中，并利用了LLMNR、NBT-NS和MDNS毒药，这些毒药很容易对付易受攻击的网络。响应方之所以成功，纯粹是因为ARP（地址解析协议）、DHCP（动态主机配置协议）和DNS（域名系统等网络组件配置不安全。

Link Local Multicast Name Resolution (LLMNR) and NetBios-Name Service (NBT-NS) are components that are used within Windows operating systems for communication and name resolution; they attempt to resolve names when DNS fails. MDNS stands for Microsoft DNS.

响应者的基本语法为responder -I [interface]。

响应者有许多可用的中毒服务器。可通过/usr/share/responder/Responder.conf中的配置文件进行配置：

图 16：响应者中毒服务器

为了理解应答器是如何工作的，让我们考虑下面的场景。

用户通过使用社会工程、打开恶意文档（强制计算机尝试访问不存在的共享）或在尝试访问合法共享时键入错误，被定向到不存在的共享。

让我们按照以下步骤来了解这一点：

1. 电脑将通过对其配置的 DNS 服务器执行名称解析，尝试连接到不存在的文件共享：

图 17：试图访问不存在的共享的用户

2. DNS 服务器没有与电脑试图访问的内容匹配的记录，因此它会告诉电脑该记录不存在。这是 LLMNR 和 NetBIOS NS 查询接管的地方。

3. 然后，PC 将使用 LLMNR 和 NetBIOS NS 进行广播，这将被运行响应程序的攻击者截获。

4. 响应者将回答该查询，并诱使 PC 相信它拥有该份额。然后，它将继续要求 PC 使用用户的密码哈希对质询请求进行加密。散列质询完成后，响应者将丢弃带有错误的请求。

5. 响应程序现在已捕获哈希并将其显示在控制台上：

图 18：捕获的 NTLMv2 散列

捕获哈希后，可以使用工具（如hashcat）对其进行破解：

图 19：使用 hashcat 破解 NLTMv2 哈希

响应者能够创建一个恶意代理服务器，该服务器将响应Web 代理自动发现（WPAD请求。这是一个协议，客户端使用它下载将定义代理设置的配置文件。通过 rogue 代理，响应者能够强制进行身份验证，从而诱骗用户输入可以捕获的凭据。

尽管响应者本身并不是一个攻击后工具，但如果您发现自己陷入困境，了解它的工作原理将有助于攻击后活动。在执行其他攻击后活动时让它运行并没有什么害处，因为您很可能会收集大量哈希，特别是在用户在尝试访问共享时容易输入错误的大型环境中。

Mimikatz 是一个在社区中广为人知的工具。它是一个开源应用，允许您与 NTLM 哈希或 Kerberos 票证等凭据进行交互。该工具不断维护，其攻击向量保持最新。Mimikatz 的存储库位于此处：https://github.com/gentilkiwi/mimikatz 。

攻击者和渗透测试人员通常都会使用 Mimikatz 窃取凭据并执行权限提升等活动。随着防病毒技术的进步，该工具经常被防病毒产品检测到。然而，互联网上有很多关于如何在使用 Mimikatz 时逃避检测的文章。

Mimikatz 的一些主要功能如下：

• 传递散列（PtH）：在 Windows 中，密码数据以散列格式（NTLM）存储。Mimikatz 允许您利用此散列并将其传递给目标，因此无需破解散列。通过传递此散列，您可以获得对目标系统的访问权，并拥有属于该散列的帐户的全部权限。

• 传递票据：此攻击涉及使用 Kerberos 票据对系统进行身份验证；不需要有帐户的密码。它通过捕获有效帐户的 Kerberos 票证来工作。捕获票据授予 Tticket（TGT）可用于从票据授予服务（TGS）请求服务票据，以访问该账户有权访问的任何资源。

• 越过散列（传递密钥）：此攻击是传递散列和传递票证攻击的组合。通过使用有效的 NTLM 哈希，您将能够获得有效用户的 Kerberos 票证请求。

• Kerberos 银票证：银票证攻击需要创建忘记服务票证。这些票证可以提供对特定服务的访问。例如，创建 SQL 服务帐户的银票证允许您访问特定主机上的 SQL 服务。执行银票证帐户时，不需要与域控制器通信。这样可以避免被检测到。

• **Kerberos 金票：**此攻击涉及一个名为krbtgt的帐户。此帐户用于加密和签署 AD 域中的所有 Kerberos 票证。金票攻击涉及窃取krbtgt散列；一旦这被窃取，您就可以创建并签署自己的 Kerberos 票据。这最终使您能够完全访问域中的任何内容，并且票证不会过期。

Mimikatz 在许多后期开发工具中得到了利用，如 Empire、Metasploit Framework 和 Powersploit。

让我们在实验室环境中执行一些利用后攻击。我们将使用 Metasploitable 3 虚拟机作为入口点，因为我们知道存在漏洞。

使用windows/smb/ms17_010_eternalblue漏洞，我们将生成一个 MeterMeter 会话。一旦建立了会话，我们将使用getsystem命令升级到系统权限。

一旦我们有了 MeterMeter 会话，我们将使用sysinfo命令确认当前系统的信息：

图 20：确认当前系统信息

这里，我们有一些有趣的信息：我们可以看到有三个用户登录。让我们继续执行凭证获取。

现在我们知道有三个用户登录，我们将尝试提取任何凭据。为此，我们将使用load kiwi命令*在 MeterMeter 中加载kiwi扩展。*加载扩展后，我们将使用kiwi_cmd sekurlsa::logonpasswords命令转储当前登录的用户凭据：

图 21：加载 kiwi 扩展

当我们使用kiwi_cmd sekurlsa::logonpasswords命令时，我们告诉 MeterMeter 使用一个我们将通过输入kiwi_cmd来定义的命令，然后我们定义要在 Mimikatz 中使用的命令。sekurlsa::logonpasswords命令负责从内存中的本地安全机构子系统服务（lsass中提取密码、密钥、pin 码和票据。

一旦命令运行，就会有大量的输出。注意下面屏幕截图中的输出。这里，我们有一些有价值的信息。我们可以看到有一个名为serveradmin的用户账号正在登录。我们有用户帐户的 LM 和 NTLM 哈希，并且由于域仍在使用wdigest，我们有P@ssw0rd!@#$%的明文密码：

**

图 22:Mimikatz 转储的服务器管理员凭据

深入研究输出，我们有另一个有趣的凭证，helpdeskagent。这里，我们还有 NTLM 哈希和明文密码：

图 23：使用 Mimikatz 转储的 helpdeskagent 凭据

现在，我们有两个有趣的帐户，我们已经收获使用。在继续横向移动之前，我们将使用 MeterMeter 上传两个文件，使用以下步骤：

1. 使用pwd命令查看当前工作目录。

2. 您可以在此处上载文件或创建新文件夹。我已经创建了一个名为tools的新文件夹。

3. 确保您已从我们在Mimikatz一节中提到的 GitHub 存储库下载了mimikatz.exe的 Windows 版本。使用upload命令上传文件：

图 24：上传 mimikatz.exe

下一个要上传的文件是PSexec.exe。PSexec用于执行远程命令，可从下载 https://docs.microsoft.com/en-us/sysinternals/downloads/psexec 。

在真正的渗透测试中，您不会简单地上传文件，尤其是 Mimikatz 和PSexec，因为它们可能会被本地防病毒软件删除或登录，并且 IT 人员可能会收到您在机器上出现的警报。在本演示中，Metasploi 表 3 上没有安装防病毒软件或日志记录软件。

最后，我们将创建一个本地用户帐户，用于访问服务器。我们可以从 Windows 命令提示符中执行此操作，可以使用 MeterMeter 中的shell命令访问该提示符。一旦拥有 shell 访问权限，我们将使用以下两个命令在内置 administrators 组中创建本地用户：

net user [username] [password] /add
net localgroup [group name] [username] /add

此命令创建本地用户并将该用户添加到指定的组：

图 25：创建本地管理用户

拥有这个本地管理用户帐户可以形成一个后门。

既然我们已经确定 Metasploitable 3 是一个服务器，那么让我们尝试使用我们创建的本地帐户登录，以防我们捕获的散列中的一个用户可能登录。要执行此操作，我们将使用内置于 Kali 中的xfreerdp工具。

我们将使用的命令语法如下：

xfreerdp /u:Pentester /p:Pentest@1! /v:192.168.10.15

在这个命令中，我们定义了用户（/u）、密码（/p）和服务器 IP（/v）。输入命令后，将有一个远程桌面会话：

图 26：建立远程桌面会话

现在我们已经登录到服务器，让我们尝试枚举当前的域用户和组。请记住，我们已经获取了serveradmin和helpdeskagent的凭据。打开命令提示符并输入net user /domain命令失败，因为我们未通过域的身份验证：

图 27：拒绝用户枚举

因为我们有两个域凭据的哈希，所以让我们使用它来执行一个跨过哈希攻击。我们将在 Mimikatz 工具中使用serveradmin的散列。执行此操作的命令如下所示：

Mimikatz.exe "privilege::debug" "sekurlsa::pth /user:serveradmin /ntlm:[ntlm hash] /domain:pentest.lab" "exit"

在这个命令中，我们告诉 Mimikatz 使用最高权限（privilege::debug），方法是使用 Overpass the Hash attack（sekurlsa::pth），并定义用户名（/user）、NTLM Hash（/ntlm）和域（/domain）。

一旦命令执行，我们将打开一个新的命令提示符窗口。此窗口将具有serveradmin帐户的权限，因此允许我们在伪装为serveradmin时执行用户和组枚举：

图 28：成功跨越散列攻击

现在，让我们看看如何处理helpdeskagent账户。在用户和组枚举时，我们确定域内有一个helpdeskagent账户和一个Helpdesk Staff组。假设用户帐户是该组的成员。我们可以使用net user helpdeskagent /domain命令确认：

******

图 29：验证 helpdeskagent 的组

果然，该帐户是该组的成员。

在继续下一步之前，我们将重复跨过散列攻击，但这次使用的是helpdeskagent帐户的 NTLM 散列。

通过使用helpdeskagent帐户的立交桥散列攻击产生的新命令窗口，我们将尝试访问 Windows 10 PC。使用dir \\192.168.10.9\c$命令执行简单的目录列表将导致目录被列出。这告诉我们Helpdesk Staff可能在该电脑上拥有本地管理员权限。

**我们要做的第一件事是将 Mimikatz 复制到 Windows 10 PC 上。这可以通过使用xcopy mimikatz.exe \\192.168.10.9\c$\tools命令来完成。根据下面的屏幕截图由于我没有创建目录，系统会提示我定义目标是文件还是目录：

*

图 30：将 mimikatz.exe 复制到新目标

使用PSexec，我们将查看转储当前登录的用户凭据。这可以通过使用以下命令来完成：

psexec.exe \\192.168.10.9 -accepteula cmd /c (cd c:\tools ^& mimikatz.exe "privilege::debug" "seckurlsa::logonpasswords" "exit")

在这个命令中，我们告诉PSexec在远程系统上运行 Mimikatz 命令。-accepteula命令非常重要，因为这将阻止远程系统上出现 EULA 提示符：

图 31：使用 PSexec 远程执行 mimikatz 命令

一旦我们有了输出，就会看到有一个高权限的账号登录，即domainadmin：

图 32：在远程系统上获取凭据

在这里，我们没有明文中的密码，但是我们仍然有 NTLM 哈希，我们可以使用它。下一步我们要做的是执行“通过罚单”攻击。我们将使用与本节相同的命令行窗口。

为了执行此攻击，我们需要从 Windows 10 PC 导出当前 Kerberos 票证。这可以使用以下命令完成：

psexec.exe \\192.168.10.9 -accepteula cmd /c (cd c:\tools ^& mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" "exit")

在这个命令中，我们导出当前的 Kerberos 票据，以便复制它们并将它们导入会话。运行此命令后，您将拥有许多*.kirbi文件。由于我们只对domainadmin感兴趣，我们将把它们复制到 Metasploitable 3 服务器。可以使用正常的 Windowscopy命令进行复制。

在 Metasploitable 3 服务器上拥有.kirbi文件后，可以使用以下命令执行通过票据攻击：

mimikatz.exe "privilege::debug" "kerberos::ptt c:\windows\system32\tools" "exit"

在这个命令中，我们定义了攻击（kerberos:ptt和.kirbi文件的位置：

图 33：导入 domainadmin Kerberos 票证

注意前面屏幕截图中的输出。在执行攻击之前，我尝试访问 DC，但被拒绝。请记住，这是我们使用helpdeskagent帐户生成的同一窗口。一旦执行了 Mimikatz 命令，我们将看到，domainadminKerberos 票据已经导入到我们的会话中。

我们可以通过运行klist命令确认已导入 Kerberos 票据，该命令将显示当前 Kerberos 票据：

图 34：成功导入 Kerberos 票据

请注意，我们的会话现在拥有domainadmin帐户的 Kerberos 票据。我们现在伪装成域管理员，因此可以访问域控制器：

图 35：现在可以访问域控制器

在这一点上，我们可以完全访问域控制器，这将导致对环境的完全破坏。

后利用可以以多种不同的方式执行。有时，仅使用一个工具（如响应程序）可能会导致捕获高权限散列。在其他情况下，您需要使用各种技术在环境中真正工作。在本章中，我们只关注几个工具，但还有更多可用的工具。

在本章中，您确定了在执行后期开发时可以使用的各种技术。您现在可以构建一个基本的广告实验室，用于测试您的后期开发技能。您可以使用渗透测试人员和攻击者使用的真实工具。您还获得了执行各种攻击后攻击的实际动手技能。

在下一章（第 12 章【在环境中维护控制】中，我们将讨论持久性以及如何维护对受损网络的访问。

1. 在后期开发期间可以利用哪些技术？
2. 哪些工具可用于后期开发？
3. 命名 MeterMeter 中存在的一些利用后脚本。
4. 解释散列攻击的传递。
5. krbtgt账户的独特之处是什么？*****************