90码线

我们需要做的最后一件事情是从域控制器中导出所有的哈希，并且设置其他的后门，最后擦除我们的痕迹。你可以使用 Mimikatz 应用的的 DCsync 功能来获取所有用户的哈希，包括 krbtgt 票据。而不是使用动静很大的方法（卷影复制服务）来获取域里所有用户的哈希。我们现在拥有了黄金票据！这意味着我们如果重新回到内网中，我们可以创建自己的 Kerberos 票据并且让它成为域管理员。

译者注: 卷影复制服务（Volume Shadow Copy Service,简称 VSS）是微软 Windows 的一项组件服务。卷影复制服务是一项定时为分卷作复制的服务。服务会在分卷新增一个名为“阴影复制”（Shadow Copy）的选项。此服务可为离线用户提供离线文件服务。

为了留下更多的后门，我们在不同主机中使用了不同的技术。我们在一个主机中设置了 shift 后门；使用 backdoorfactory 技术将我们的恶意软件隐藏在另一个主机中的常用二进制可执行文件中；将系统的计划任务设置为每周运行一次回连我们的 C2 服务器；使用一个和 lab 域分离的主机，使用 dnscat 的可执行二进制文件代替系统中一个没啥用的运行服务；还删除了几个主机的启动文件夹中的 payload。

我们是幸运的（当然与之对应我们的幸运建立在他们的不幸之上），我们到目前为止都没有被发现。但你要记住，红队渗透评估的目的是为了了解公司或组织发现恶意攻击活动的速度有多快（CSK 公司并没有发现），以及他们执行应急响应、取证和缓解攻击带来的负面影响的速度有多快。所以在最后你尝试触发 CSK 的蓝队采取行动，运行了一个 powershell 脚本（ https://github.com/EmpireProject/Empire/blob/master/data/module_source/trollsploit/Get-RickAstley.ps1 ）。你满意的笑了，然后关闭笔记本电脑。

任务完成 :)