主要任务

配置Windows Server 2012域控环境以及域用户的登录脚本和退出脚本，并抓取域控和域用户的hash

搭建域控环境

本地管理员登录

本地管理员登录

设置静态IP

设置静态IP

安装Active Directory域服务

打开服务器管理器->仪表板->添加角色和功能->一直点下一步，直到在服务器角色中选择"Active Directory域服务"->在添加角色和功能向导中选择添加功能->一直点“下一步”直到“安装”->点击“安装”，等待安装完毕

添加角色和功能
安装Active Directory域服务
点击“安装”
安装成功

将此服务器提升为域控制器

回到【服务器管理器】界面，单击右上角【小旗子】，选择【将此服务器提升为域控制器】

将此服务器提升为域控制器

添加新林

在上一步弹出的窗口中添加新林，根域名填上域名称

添加新林

设置还原模式密码

请牢记密码，抓取Windows Server 2012 Hash中，某种特别情况下需要用到

设置还原模式密码

域控搭建完毕

一直下一步，安装完成后，系统会自动重启。【服务器管理器】界面左侧已经出现了管理的选项卡。

AD DS

设置域控的域用户

此处以WinXP专业版作为域用户，家庭版无法添加到域

设置域用户静态IP，将DNS设置为域控的IP

设置域用户静态IP，将DNS设置为域控的IP

加入域控

加入域控

在弹出的窗口中，输入域控的用户名和密码

输入域控的用户名和密码

在WinXP和WinServer2012，使用net view命令，查看域用户(WinXP)是否加入成功

WinXP
WinServer2012

通过组策略设置域用户登录和注销脚本

在WinServer2012命令行运行gpmc.msc命令来启动启动“组策略管理编辑器”

在“组策略管理编辑器”左侧导航树上选择 “Default Domain Policy” -> 右键“编辑”->用户配置 -> 策略 -> Windows 设置 -> 脚本（登录/注销）

步骤一 步骤二
步骤三

双击 “登录”，在 “登录” 属性中添加上面的脚本。这里可以先在属性窗口的下部使用“显示文件”来查看默认脚本文件都放在什么地方，比如，在我的环境下是：

\\hiro.com\sysvol\hiro.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\User\Scripts\Logon
\\hiro.com\sysvol\hiro.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\User\Scripts\Logoff

将脚本放入上面的两个文件夹

登录脚本
注销脚本

登录脚本代码：Load.vbs

MsgBox "Good morning", 48, "Title"

退出脚本代码：Exit.vbs

MsgBox "Bye Bye!", 64, "Title"

点击添加，将脚本的路径和文件名添加到登录属性的脚本

添加登录脚本

当域用户开机时，将出现如下窗口：

登录脚本运行

“注销” 脚本和 “登录” 脚本类似。

抓取域控和域用户hash

使用wce抓取hash

wce下载链接：
https://pan.baidu.com/s/1CxnyQCcTuUbFthQbMrjYaA 提取码: jkgj

以管理员运行cmd，切换到wce所在目录，输入命令wce -l即可

使用wce抓取hash

第一行为域控(Win Server 2012)hash
第二行为域用户(WinXP)hash

使用mimikatz抓取hash

链接: https://pan.baidu.com/s/1N7Mml-LaoL8GF18JAlDZ0Q 提取码: 4cyy

mimikatz作为老牌的黑客工具已经升级到2.0的版本了，其中破解密码的功能也是非常方便，但对于杀软的防御也较弱，如果完全控制机器，关闭杀软也可，在msf中也要mimikatz的模块也可以在渗透中较为方便的获得密码

mimikatz# privilege::debug  //提升权限
mimikatz# sekurlsa::logonpasswords  //抓取密码

使用mimikatz抓取hash

这个工具抓取的信息非常全面，甚至抓取到了明文密码