护网行动是以公安部牵头，用以评估企事业单位的网络安全的活动。

具体实践中，公安部会组织攻防两方，进攻方会在一个月内对防守方发动网络攻击，检测出防守方（企事业单位）存在的安全漏洞。通过与进攻方的对抗，企事业单位网络、系统以及设备等的安全能力会大大提高。

当前，我国网络安全形势严峻，“为了防止羊被偷，我们得在羊被偷之前就开始识别风险、加固羊圈建设”。

护网行动就是在这样的背景下开展的。

护网行动每年举办一次，政府单位、事业单位、国企单位、名企单位等都必须参与！

1.通过社工库查到邮箱账户密码并登陆

社工库查询地址：

2.通过翻看邮件内容发现边缘资产并通过反序列化漏洞拿到webshell

Weblogic的路径一般可以通过类似路径查找 （路径最后会有war包的路径 直接上传文件就可以） D:\小生观察室\eosdomain\servers\AdminServer\tmp_WL_user

利用免杀mimikatz抓取密码数据 ----非交互式抓明文密码(webshell中)

利用Proxifier+EarthWorm

Linux方式

WINDOWS用法：

登录内网,当无法使用Net/Net1 交互命令的时候 尽可能的用域账户登录到其他机器上去尝试net命令,然后进一步获取域信息

当获取到域管理员和管理组的信息之后，进行查找域管理员登录过的机器，然后进行域管理员账户密码的抓取.

首先查看有多少个域管理员，域管理员最近登录的时间进行比较，尽可能找时间跟当前时间接近的域管理员账户。

经过查看域管理员信息，如果只有这个登陆过（也有可能多个域管理账户都登录过） 就用netsess.exe 或是psloggedon之类的工具查下他现在是否还在线、在哪里登陆的等

这2个工具主要是查看是否在线和在哪登陆过，而且是实时查询

所以要多运行几次 每次结果可能都不一样。

只有当用户与域控制器在交互数据的时候才能刚好查询到。

不用操作 后台也会有数据交互的  只要在登录着  就算mstsc断开了也能查的到的，除非已经注销。

多运行几次，每次结果都可能不一样。

前面是小生观察室\administrator登录的都可以。

最后，就可以成功抓到域管理员的账户密码了。

登录域控的服务器上抓取所有用户的Hash值

可参考我之前写的下面两篇详细攻略

利用ProxyShell漏洞获取域控所有Hash

无需免杀获取域控hash小技巧

最好整理记录提交至裁判处。