通過VOIP內部評估，我們對5060和5061端口進行了掃描找到已經開機的IP話機。 然后我們找到了一個范圍然后開始連接到每個電話開啟了80端口的web頁面。

校驗VOIP電話的狀態消息，我們發現電話的文件沒有更新，例如：

SEPDC*****90.cnf.xml.sgn

　　提示：所有的VOIP電話都從呼叫管理中心的TFTP服務器上下載最新的配置。

現在我們找到呼叫管理的TFTP服務器，這很容易就能從電話設置菜單中找到。

　　然后我們TFTP連接到呼叫管理下載SEPDC*****90.cnf.xml.sgn文件

在下載的文件里面我找到了更多存放在TFTP服務器上的文件，例如：SPDefault.cnf.xml

從TFTP下載SPDefault.cnf.xml文件。我們發現連接到‘***mmunicatio*’LDAP服務端憑證。

使用我們找到的憑證成功連接到域名控制并枚舉了所有域名上的用戶。這些用戶只能請求和提供信息，沒有RDP，添加用戶的權限。

從所有枚舉出來的用戶中我們嘗試找到所有通用的賬號比如mcafee*****n, sql-****n等等。在sql-****n嘗試默認的憑證成功進入了。

接著使用netscan我們發現所有的超級管理員都登錄了。使用sql-****n用戶我們RDP到盒子上。幸運的是有一個盒子我們使用sql-****n 成功連接上了。

然后按以下步驟RDP到盒子上，sql-****n憑證->關閉殺毒軟件->下載Mimikatz->活動文件中的所有密碼->在文件中找到所有超級管理員憑證->PWNED

然后我們使用 超級管理員憑證-> 添加 ***-voip用戶RDP到域名控制將用戶添加到域名管理員組。 游戲結束。