https://defcon.ru/penetration-testing/2647/

Давненько это было, могу и запамятовать, но, по-моему, я делал так: в 2000 не закрыта дырка по хэшам и он их сохраняет. Достаешь хэш админа сервера (программ - море) и runhash тебе в руки. Поднимаешь себе привилегии и сервер у твоих ног.

impersonate token

ArthurPatriot сказал(а):

Вопрос решен. Всем спасибо!


Решение пожалуйста.

ArthurPatriot сказал(а):

Получен с него пароль локального админа. С этими данными был выполнен вход в контроллер домена. А там уже просто создал пользователя и добавил в Enterprise и Domain Admins


Гм... Выходит, что локальный админ и доменный - суть одно и то же? Т.е. пароли совпадают? Это что же за админ там такой шибко мудрый? Нарушено главное правило безопасности и вот она - расплата.


ArthurPatriot сказал(а):

Теперь только сложность с дампом NTLM хешей юзеров домена


Обратись к связке (потому что pwdump7 не умеет вытаскивать хешированные пароли из памяти)
pwdump7+gsecdump

Другой вариант:
сделай снимок системы ntdsutil
https://technet.microsoft.com/en-us/library/cc753609(WS.10).aspx
А для извлечения хэшей из скопированного таким образом ntds.dit достаточно банальногоWindows Password Recovery Tool
Весь указанный мной софт легко находится в свободном доступе.
И всё - вуа-ля!