从活动目录中获取域管理员权限的6种方法
从活动目录中获取域管理员权限的6种方法
本文讲的是从活动目录中获取域管理员权限的6种方法，通常，在大多数企业当中，攻击者根本不需要太长的时间，就可以将域中普通用户的权限提升到域管理员的权限。公司运维人员会困惑，“这一切都是怎么发生的？”
本文讲的是从活动目录中获取域管理员权限的6种方法，通常，在大多数企业当中，攻击者根本不需要太长的时间，就可以将域中普通用户的权限提升到域管理员的权限。公司运维人员会困惑，“这一切都是怎么发生的？”
一次攻击，往往开始于公司中的一个或多个用户打开了恶意邮件，使得攻击者可以在目标网络中的计算机上执行恶意代码。一旦恶意代码被运行，攻击者就会利用恶意代码对企业内网进行侦查，以便于发现有用的资源进行提权，进行持久控制，当然，他们还有可能进行信息掠夺。
虽然整体的细节以及流程大多不同，但是他们的目的几乎是一样的，如：
恶意软件注入(web应用漏洞利用，Spear-Phish网络钓鱼攻击等等)
进行内网信息收集
进行攻击以及提权
我们从攻击者进入内网区域开始讲述，因为这在真实网络环境中，并不是很困难的事情。此外，攻击者从主机普通用户权限提升到本地管理员的权限并不是那么困难，他们可以通过利用主机未修补的提权漏洞进行提权，或者从SYSVOL中找到本地管理员的密码，比如：组策略首选项。
我曾经在会议上分享过许多关于这种攻击的方法，也在文章里中介绍过。
下面，我们就开始我们的正文吧～
从域普通用户到域管理员的攻击方法：
1.SYSVOL和组策略首选项中的密码
因为不使用任何工具，所以这种攻击方法是最简单的。攻击者需要做的就是打开windows任务管理器，并搜索名为SYSVOL
DFS的共享XML文档。大多数情况下，以下文档会包含密码：
groups.xml,scheduledtasks.xml以及Services.xml.
SYSVOL是将在域中所有经过身份验证的用户都可以读取权限的活动目录在域中进行共享。SYSVOL包括登录脚本，组策略数据，以及域控需要访问的其他域里面的数据(因为SYSVOL是在所有域控之间自动同步并且共享的)。所有域的组策略都存在于：
&DOMAIN&SYSVOL&DOMAIN&Policies
当新的GPP(组策略选项)创建时，会在SYSVOL中创建一个与相关配置数据相关联的XML文件，如果提供了密码，那么加密方式应该是AES-256。
除了在2012年微软公布了AES加密的私钥外,任何经过身份验证的用户(任何域中用户或者受信任域中的用户)都可以查看SYSVOL中的包含AES加密密码的XML文件。
当进入到这个XML文件当中后，攻击者可以使用上述AES的私钥对组策略选项中的密码进行解密。PowerSploit中的一个模块Get-GPPPassword可以对组策略密码进行破解。下面截图就是类似模块对在SYSVOL的GPP密码进行解密的方法。
一些其他的文件可能也存在已经嵌入的密码，通常是明文，比如vbs,bat文件。
你会认为通过发布的补丁，将管理员的信息不放进组策略就可以避免这个问题的发生，但是我现在在对客户进行安全评估时，依旧可以在SYSVOL中找到用户的密码。
解决方法：
在用于管理GPO(组策略对象)的每台计算机上安装KB2962486补丁，以防止新的凭据被放置在组策略首选项中。
删除SYSVOL中存在GPP密码的XML文件。
不要将密码暴露在任何域用户面前。
关于这个攻击方法的更多信息，你可以具体参考这篇文章：https://adsecurity.org/?p=2288
2.在未打补丁的域控上使用MS14-068关于Kerberos的漏洞进行攻击。
自从KB3011780补丁对MS14-068进行修补已经过去一年多了，并且已经有方法可以对MS14-068攻击进行检测和防御，不过这并不意味这所有的域控制器都会对这个漏洞进行检测。大多数的企业都在KB301178发布一个月后对域控上面的漏洞进行修补，但是并不确保新成为域控的服务器都对这个漏洞进行了修复。
感谢@Gavin Millard,让我们可以简单的进行介绍这种攻击。
简单来说，攻击者利用MS14-068可以在5分钟之内重写一个有效的Kerberos
TGT身份验证，并且使他成为域管理员以及目录林管理员。如上图所示，就像采取了有效的登机密码，在登记前，在登机牌上写上”我是飞行员”，然后你就会被安排到驾驶仓，并且还会给你提供咖啡。就好比这种攻击，系统会将普通用户当成了域管理员，然后给予域管理员的权限。
补丁发布两周后，MS14-068漏洞利用的exp第一次公开发布。exp是由Sylvain
Monné编写，被叫做PyKEK.PyKEK是一个可以运行在任何具有Python环境平台上的一个python脚本，当然，这个平台需要能够和未打补丁的域控进行通信。他通过捕获一个ccache文件，然后利用Mimikatz将作为管理员的TGT注入到内存，然后你就可以以域管理员权限进行各种操作。
解决方法：使用补丁，或者域控使用windows
MS14-068利用过程:
普通用户发送一个不包含PAC(Privilege Attribute Certificate 特权属性证书)的kerberos TGT 认证请求，然后域控会回复TGT。
生成伪造的PAC，没有密钥，所以生成的PAC是将域用户的密码数据使用MD5算法加密而不是使用HMAC_MD5“签名”。
将没有PAC的TGT以及作为TGS服务认证请求数据的一部分的伪造PAC发送给域控。
域控被发送过来的数据混淆，所以它将用户发送过来的无PAC的TGT丢弃，同时创建一个新的TGT，将我们的伪造的PAC插入到当中，然后将这个新的TGT发送给用户。
通过伪造的新的TGT将用户设置成域管理员。
Mimikatz的作者Benjamin
Delpy通过改进PyKEK写了一个新的MS14-068的exp，叫做kekeo。这个exp可以发现并且定位存在漏洞的域控，不管在域中是否有补丁，以及是否使用windows。攻击使用的Exp是和PyKEK相同的，不过他在最后加了一个新的步骤，可以产生一个对任何内网的域控都可以进行访问的TGT。这样就可以在域的任何一处地方执行exp，得到域管权限。
解决方案：
1. 确保DCPromo进程在运行DCPromo之前包括一个补丁查询步骤，以检查KB3011780的安装。可以使用PowerShell命令：get-hotfix 3011780进行快速检查。
2. 此外，实施一个自动化过程，确保在系统在不符合规定的情况下运行时，自动应用关键补丁。即设置自动更新补丁
3.kerberos TGS服务凭证离线爆破(kerberoast)
Kerberoast能够使普通用户在不向目标系统发送任何数据包的情况下从活动目录提取服务账户信息。因为大多数人都会使用比较弱的密码，所以这种攻击是一个很好的攻击方法。之所以很容易攻击成功是因为大多数的服务的密码长度都会和域中设置的最小长度相同，这就意味着爆破也不会花费太长的时间，不会导致超过这个密码的到期时间。大多数的服务不会为密码设置到期时间，所以相同的密码可能会几个月或者几年都会生效。此外，大多数的服务权限都赋予的很高，并且一般都是域管理员权限，具有完整的对活动目录操作的权限.(尽管服务帐户只需要能够修改某些对象类型上的属性或持有特定服务器上的管理员权限)注意:当目标服务是windows的系统管理服务时，这种攻击不会成功，因为他们会在活动目录中产生128个字符的密钥，这暴力破解起来很困难，并且基本不可能实现。
这种攻击方法是为目标账户的服务主体名称一个Kerberos服务凭证(TGS)。这个请求使用一个有效的域用户凭证(TGT)为目标运行的多个服务请求一个或者多个服务凭证。域控一般不会确认这个用户是不是已经连接到这些资源(甚至不确认它是否有权限访问)。域控会在活动目录中查找SPN，并且使用与SPN相关联的账户对凭证进行加密，以便于服务验证用户的访问权限。请求Kerberos服务凭证加密方式为：RC4_HMAC_MD5,这意味着服务账户的NTLM密码用于了加密服务凭证。这也就意味着Kerberoast可以尝试通过尝试不同的NTLM散列来解密Kerberos凭证，并且当凭证成功解密时，会发现正确的服务帐户密码。注意：这里没有对权限进行提升，以及没有与目标进行任何通信。
Tim Medin在DerbyCon 2014上发表了他的“攻击微软Kerberosd的想法”演示文稿（幻灯片和视频），以及发布了Kerberoast Python TGS破解者。
解决方法：
最有效的防御这种攻击的方法就是将确保服务账户的密码超过25个字符。
使用托管服务帐户和组托管服务帐户是确保服务帐户密码长，复杂以及定期更改的好方法。使用提供密码保管的第三方产品也是管理服务帐户密码的坚实解决方案。
关于这种攻击的详细介绍您可以在这篇文章中可以了解：https://adsecurity.org/?p=2293
4.悄无声息盗窃密码
因为这种方法实在是难以描述，所以我把它叫做了”悄无声息盗窃密码”。将它看成是一次舞蹈演出。先拿下一台简单的服务器，提权，并且将凭证导出。然后通过凭证进入到其他主机中，再进行提权，在进行凭证导出。
由于大多数的活动目录的管理员使用账户登录到他们的主机上面，然后使用RunAs(将其管理员凭据放在本地使用的命令)或者RDP命令连接到远程服务端，所以，这种攻击方法得到域管理员的凭证通常很迅速。
步骤一：拿下一台主机，并且进行提权，得到本地管理员权限，然后运行Mimikatz或者类似导出本地用户信息的工具，得到最近登录的信息以及账户密码。
步骤二：使用步骤一收集的管理员信息，并且尝试这去登陆其他具有管理员权限的机器。一般是会成功的，因为本地的管理员账户很难被设置正确(现在你可以使用微软的LAPS进行配置)。如果你知道了一组管理员的帐号密码，就相当于知道了多个甚至全部主机的账户和密码，这就以为着你有了所有主机的管理员权限。连接到其他主机，并且以同样的方法对这些主机进行本地登录信息的导出，直到得到了域管理员的账户信息。并且，使用本地用户进行登录是一个很隐蔽的方法，这样不需要登录到域管上面，也很少有主机发送安全日志到中央日志记录系统当中(SIEM)。
步骤三：利用被盗取的账户信息收集更多的信息。比如运行一些应用的服务器中，往往具有大量用户信息(更有可能含有域管理员信息)。比如：CAS服务器，OWA服务器，MSSQL服务器，RDP服务器。
步骤四：结束攻击，收尾。
使用被窃取的域管理员的账户，攻击者可以毫无阻碍的得到所有域中的用户信息。
如果域管在所有主机中都在控制着一个服务，那么只要拿下一台机器，就相当于拿下了整个域。
通常PowerShell是一种很好的管理方法，因为通过PowerShell连接到远程系统是一种网络登录（没有凭据存储在远程系统的内存中）。这是理想的，而微软正在通过管理员模式将RDP转变。有一种通过PowerShell远程连接到远程系统的方法，并能够通过CredSSP使用凭据。但是这里的问题是CredSSP不安全。
Joe Bialek在PowershellMagazine.com关于这种连接写到：
“使用PowerShell远程连接时管理员面临的常见问题是“双跳”问题。管理员使用PowerShell远程连接连接到服务器A，然后尝试从服务器A连接到服务器B.不幸的是，在第二步时连接失败。
原因是，默认情况下，PowerShell使用“网络登录”远程处理身份验证。网络登录通过向远程服务器证明您拥有用户凭据而不向该服务器发送凭证（参见Kerberos和NTLM身份验证）。因为远程服务器不拥有凭据，所以当您尝试进行第二跳（从服务器A到服务器B）时，它会失败，因为服务器A没有凭证到服务器B，进行身份验证失败。
为了解决这个问题，PowerShell提供了CredSSP（Credential Security Support
Provider）选项。使用CredSSP时，PowerShell将执行“网络清除文本登录”而不是“网络登录”。网络清除文本登录通过将用户的明文密码发送到远程服务器。使用CredSSP时，服务器A将发送用户的明文密码，因此能够对服务器B进行身份验证。这样”双跳”连接就会成功。
更新：这次实验是在Windows2012上进行的，微软已经在WIN
server2012R2以及win8.1上做出了更改，不会将明文密码存储在内存里面。这就意味着攻击者即使运行Mimikatz也不会得到明文密码，但是攻击者还是可以看到你的NT密码的hash值以及你的Kerberos
TGT，这两者与得到密码相比，都是一样的。都可用于网络身份验证。
此外，即使您的明文凭据未保存在内存中，仍会发送到远程服务器。攻击者可以在本地安全机构子系统服务（LSASS.exe）中注入恶意代码，并在传输过程中拦截您的密码。所以尽管你可能不会再看到你的密码了，你的密码仍然可以被攻击者得到。
所以，请不要使用CredSSP。类似的一个漏洞是在Powershell远程连接中使用的WinRM中的一个配置问题，这个配置叫做：“AllowUnencrypted”。将这个配置选项改为”True”,就会禁用通过这个系统的任何WinRM通信的加密，使用明文传输。当然也包括Powershell远程链接。
5.hash传递攻击到凭证传递攻击
大部分人都应该听过hash传递攻击(pass-the-hash(PtH))，它是通过找到用户密码的hash值来进行攻击的。(通常是NTLM密码hash)，使用PtH进行攻击有趣的地方是，他不需要知道明文密码到底是什么，因为在windows的网络通信中，Hash就是用来对用户身份进行验证的。
微软的产品和工具显然不支持传递哈希攻击，所以需要第三方工具，如Mimikatz。一旦发现密码哈希，Hash传递攻击为攻击者提供了很多途径，但还有其他选择。凭证传递攻击(Pass-the-Ticket(PtT))通过收集已经存在的kerberos凭证，并且使用它进行用户验证。
Mimikatz支持收集当前用户的Kerberos凭证，也可以收集经过系统验证的每个用户的Kerberos凭证（如果配置了Kerberos无约束委托，这可能是一个很大的问题）。一旦获得Kerberos凭证，他们可以使用Mimikatz传递，并用于访问资源（当然是在Kerberos票据生存期内）。
超hash传递攻击(OverPass-the-Hash)又名密钥传递攻击。这种攻击涉及使用获取的密码哈希来获取Kerberos凭证。此技术清除当前用户的所有现有Kerberos密钥（哈希值），并将获取的哈希值注入到Kerberos凭证请求的内存中。下一次需要Kerberos凭证进行资源访问时，注入的散列（现在是内存中的Kerberos密钥）用于请求Kerberos凭证。Mimikatz提供执行OverPass-the-Hash的功能。因为有方法对hash传递攻击进行检测，所以这种方法是相对来说比较好的。
注意：如果获取的散列是NTLM，则Kerberos凭证加密方法是RC4。如果散列加密方法为AES，则Kerberos票使用AES进行的加密。
当然还有很多用来窃取凭证的方法，不过这几种是最常用的：
hash传递攻击(PtH):抓住哈希并使用它来访问资源。用户更改帐户密码之前有效。
凭证传递攻击(PtT):抓取Kerberos凭证，并且使用它进行访问资源。攻击有效期是在票证有效期之内(一般为7天)。
超hash传递攻击(OPtH):使用密码哈希来获取Kerberos凭证。用户更改帐户密码之前，哈希才有效。
解决方法：
管理员应该有管理活动的单独管理主机。管理员帐户不应该登录到正在执行用户活动（如电子邮件和网页浏览）的主机。这会大大减少了盗号机会。请注意，智能卡不会阻止用户信息泄漏，因为在访问智能卡时仍会用到账户对应的hash值。智能卡仅确保正在对系统进行登录的用户拥有智能卡。一旦用于对系统进行身份验证，智能卡双因素身份验证会就会成为使用帐户的密码的一个因素，也就是用户密码的hash值。此外，一旦帐户配置为智能卡身份验证，系统会为该帐户生成一个新密码（并且从未更改）。
主机和服务器上的所有本地管理员帐户密码应使用像Microsoft LAPS这样的产品，使用较长，复杂和随机的密码。
配置组策略以防止本地管理员帐户通过网络进行身份验证。以下GPO示例可防止本地帐户通过网络登录（包括RDP），并阻止域管理员和目录林管理员登录。 GPO包括以下设置：
1. 拒绝以下账户从网络访问此计算机：本地帐户，目录林管理员(Enterprise Admins)，域管理员
2. 拒绝以下账户通过远程桌面服务登录：本地帐户，目录林管理员，域管理员
3。拒绝本地登录：目录林管理员，域管理员
6.获取活动目录中的数据库文件访问权限(ntds.dit)
活动目录的数据库文件（ntds.dit）包含有关活动目录域中所有对象的所有信息。此数据库中的数据将复制到域中的所有域控制器。该文件还包含所有域用户和计算机帐户的密码哈希值。域控制器（DC）上的ntds.dit文件只能由可以登录到DC的用户访问。很明显，保护这个文件至关重要，因为攻击者访问这个文件会导致整个域沦陷。以下是一个不完整的列表，用于非域管理员情况下，获取NTDS.dit数据方法：
备份路径(备份服务器存储，媒体或网络共享）)
攻击者使用备份共享中的ntds.dit文件访问域控备份并且安装后门。确保存储域控备份的任何网络位置已经被保护。只有域管理员才能访问它们。
在成为域控之前服务器上查找NTDS.dit文件
IFM与DCPromo是使用的”从媒体安装”的安装方式，因此正在升级的服务器不需要通过网络从其他域控复制域数据。
IFM集是NTDS.dit文件的副本，可以在共享上分享用来配置新的域控，或者可能在尚未被提升为域控的服务器上找到。并且此服务器可能没有被正确的保护。
通过虚拟机的管理权限，克隆虚拟域控，并且离线获得数据
访问虚拟域控存储数据并访问域凭据。你运行VMWare吗？ VCenter Admins是完整的管理员，具有全部权限。所以使用VCenter Admin权限可以克隆域控并将数据复制到本地硬盘。
当VM挂起时，也可以从VM内存中提取LSASS数据。不要低估虚拟管理员对虚拟域控制器的影响。如果你的VCenter管理员组是在域控当中，那么你需要尽快改变这一设置。授予相应组的适当权限，不要通过服务器管理员帐户为攻击者提供后门攻击域控的能力。
攻击有权登录到域控的账户
在活动目录中，有几个组是最不应该对域控制器具有默认登录权限的。
这些组可以默认登录到域控制器：
Enterprise Admins (目录林管理员组)
Domain Admins（域管理员组）
Administrators(管理员组)
Backup Operators（备份操作成员）
Account Operators（账户管理组）
Print Operators(打印机操作组)
这意味着如果攻击者可能会损害帐户管理组或打印机操作组中的帐户，则活动目录域可能会受到威胁，因为这些组对域控制器具有登录权限。
解决方案：
限制有权登录到域控制器的组/帐户。
限制具有完整活动目录权限的组/帐户，特别是服务帐户。
保护活动目录数据库的每一个副本，并且不要将它放在比域控信任级别低的主机上面。
那么，当一个帐户具有域控制器的登录权限会怎么样？如果是域控，那当然是先把所有的登录凭证全部获取到本地。
1.使用Mimikatz获取所有登录信息
Mimikatz可以从域控上面抓取到所有账户信息：
2.使用Mimikatz转储LSASS内存（获取域管理员凭据）
Mimikatz可用于转储LSASS，然后从不同系统上的LSASS.dmp文件中提取登录凭据。在域控制器上，这几乎总是导致域管理员凭据。
3.使用任务管理器转储LSASS内存（获取域管理员凭据）
一旦LSASS被转储，mimikatz就可以对lsass.dmp进行提取。
4.用NTDSUtil创建媒体安装集(IFM) (用于抓取NTDS.dit文件)
NTDSUtil一个本地运行的针对活动目录数据库(ntds.dit)的命令，并且允许为DCPromo准备IFM集。IFM是用于DCPromo命令中”从媒体安装”这一过程的，所以，在配置域控时就不需要通过网络从其他域控拷贝数据。IFM集，并且也会在c:/temp目录下生成的一份NTDS.dit附件。
该文件可能会在新域控上进行共享，或者可能在尚未升级成域控的新服务器上找到该文件。这样的服务器可能未正确保护。
5.从NTDS.dit文件（和注册表系统配置单元）转储活动目录域凭据。
一旦攻击者拥有NTDS.dit文件的副本（以及某些注册表项用来解密数据库文件），则可以提取活动目录数据库文件中的凭证数据。
一旦攻击者从注册表和NTDS.dit fie获得系统配置单元，他们就拥有所有的管理员凭据！这个截图来自一个安装了Impacket python工具的Kali。使用Impacket中的secretsdump.py python脚本转储DIT。
原文发布时间为：日
本文作者：xnianq
本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。
用云栖社区APP，舒服~
【云栖快讯】Apache旗下顶级开源盛会 HBasecon Asia 2018将于8月17日在京举行，现场仅600席，免费赠票领取入口&&
文章23240篇
用配置管理（Application Configuration Management，简称 ...
由轻量级Agent和云端组成，集云盾威胁情报于一体，通过Agent和云端大数据的联动，为您提...
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效...
数据库云大使豆丁微信公众号
君，已阅读到文档的结尾了呢~~
数字电子技术模拟试题112 精心收集的各类精品文档，欢迎下载使用
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
数字电子技术模拟试题112
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口蔡文胜拥有的域名卖了多少钱？
中国互联网传奇人物、原265.COM创始人蔡文胜几年间经手卖出的域名不计其数，从g.cn、520.COM到自己一手创办的265.COM，虽然都不曾公布价格，但是据网络传言，仅其经营的265.COM就至少套现了2000万美元。
　　那么，蔡文胜拥有的域名总共卖了多少钱呢?
　　这就得先知道蔡文胜都拥有过那些域名，卖出过那些域名。据网络传闻，中国2112个县名的80%以上的相关域名都在蔡文胜手里，另外他手里还握着几千个非常牛叉的域名，无数个商业公司或国外公司的CN域名。
　　到底有多牛叉?先不说265，看看下面这些公司和域名你是不是很熟悉：
　　谷歌g.cn、安全卫士360.cn、暴风影音baofeng.com、11503.html"&网际快车kuaiche.com、大旗daqi.com、我爱你520.com、百姓baixing.com……
　　至于还有多少这么牛叉的域名、蔡文胜到底有多少域名，恐怕蔡文胜自己都不清楚，他自己统计的时候肯定会先去看Excel，所以我也不知道。但能肯定的是，这些已经曝光的域名都是非常非常的值钱，但值多少也只有蔡文胜自己清楚。
　　08年6月，酷讯启用了经手蔡文胜的50万买下的KUXUN.CN，发布会上世纪佳缘CEO龚海燕庆祝酷讯启用新域名时爆料：花40多万买了JiaYuan.com。后来证实，JiaYuan.com出自蔡文胜，也就是说这个JiaYuan蔡文胜卖了40多万。
　　而另外坊间风传价值千万的daqi.com、价值不菲却传是忠实粉丝免费赠送的360.CN、以女友酷爱百合花为名义被“骗取”的baihe.com、宝洁公司曾经花180万美元买的romantic.com、抢注后却又送还的FM365.COM等等，都是蔡文胜所有，具体是怎么交易的，他知、它知，我们不知。在我们现在看来，这些已经成为了蔡文胜的传奇故事。如果我们足够细心，还会从互联网上发现更多蔡文胜和一些知名域名的故事。
　　囤积域名曾经是蔡文胜最大的快乐，也是最大的成功，所以当有人称他是“域名投资获利大王”时，中国绝对没有人能望其项背。而蔡文胜如今一转身，已经成了小站长VC天使大王。所以当蔡文胜在某IT界的活动上透露，其目前投资了100多家网站时，我们并不惊讶，不过相信这100多家网站里，肯定会有很多域名是和蔡文胜有过故事的。
　　在蔡文胜的域名里，最令他陶醉的应数265.COM了。据蔡文胜在搜狐博客的一次活动中爆料：当年看到HAO123竟然那么火，就问一个手下“我花100万把HAO123买下来值不值?”手下看了看回答：我一会就能给你做出来一个。然后他就注册了265.COM，再然后就成功了。
蔡文胜2011年卖了7个百万域名
蔡文胜2011年卖了7个百万域名，家具域名jiaju.com（买家新浪），联众域名lianzhong.com（买家联众新世界）、gaojie.com（高街网）、物联域名wulian.com（物联网）、艺龙域名yilong.com、携程域名xiecheng.com（曾持有），去年还卖出英文域名piazza.com，这些域名坊间传闻交易价均上百万元。
据传闻，中国2112个县名的80%以上的相关域名都在蔡文胜手里，另外他手里还握着几千个非常牛叉的域名，无数个商业公司或国外公司的CN域名。
蔡文胜：有些域名不卖现在就富可敌国了？
易名中国(eName.cn)5月4日讯，日前，创业板暴风科技收出挂牌以来的第25个“一字板”，股价报收101.27元，作为公司第六大股东的蔡文胜有望冲击厦门首富。这位靠着域名起家，卖出过qiyi.com(奇艺)、tudou.com(土豆)等诸多重磅域名，到后来的知名天使投资人，蔡文胜的成功不能不说是个传奇。
　　图：蔡文胜
　　域名投资获得第一桶金
　　蔡文胜和58同城CEO姚劲波、美图秀秀创始人吴欣鸿，都是靠域名起家，而蔡文胜在域名领域的成就则更胜一筹，被人称为“域名大王”。2000年4月，蔡文胜因偶然看到business.com域名卖了750万美元的新闻，他敏锐地感觉到了其中的商机，决定放弃家族经营的进出口贸易与地产开发行当，开始投资域名，并成为中国最成功的域名投资者之一。
　　据了解，蔡文胜曾抢得十多万个互联网域名，现在总估值超过1亿美元。从2001年到2003年，他的域名生意如日中天，他大约注册了5000多个域名，卖了1000多个，包括奇艺网qiyi.com、土豆网tudou.com、创新工场chuangxin.com、完美时空wanmei.com、暴风影音baofeng.com等，每一个域名拿出来都值得炫耀。
　　蔡文胜拥有的域名跨足各行各业，其中城市地理域名在其域名大军中占据很高地位。据悉，中国有2112个县市，其中80%的城市域名都是被他注册或从海外收购回来的，如此前蔡文胜转手交易的Puyang.com(濮阳)、chuzhou.com(滁州)、jingdezhen.com(景德镇)等。
　　他还曾持有过三个汽车类域名：神州租车网zuche.com、汽车Qiche.com、
网上车市Cheshi.com，在国内都具有一定知名度。还有谷歌g.cn、坊传价值千万的大旗网域名daqi.com等都是他卖出的。
　　蔡文胜在域名领域算是小有成就，据说其在域名上每年净赚几百万元，而蔡文胜本人也曾说过，域名带给他的成就是最大的，赚的钱也是最多的，还说当时如果有些域名不卖的话，那现在就真的富可敌国了。
　　此言非虚，如众所周知的“汽车”顶级域名qiche.com，这个传闻卖了1500万元的域名，当初却是蔡文胜免费送给一个杭州人的。再比如“银联”域名yinlian.com，当时只卖了1.8万元。而像这种级别的当初卖2万以内，现在价值应该在500万以上的域名，他最少卖了200个以上。
　　天使投资人蔡文胜
　　靠着域名获得第一桶金的蔡文胜，在2003年5月创办华域网络科技有限公司和265.2007年开始进行网络投资，目前至少投资19家公司，包括厦门隆领投资、云游控股、厦门美图、北京酷热科技等，成为了中国知名天使投资人，现任美图秀秀董事长。
　　去年以来,蔡文胜投资的公司陆续在港股和A股上市。据外界预测，若蔡文胜投资的公司能够顺利进入资本市场,特别是美图秀秀能顺利单独上市的话，蔡文胜的身家将暴增，有望冲击厦门首富宝座。
　　以个人站长为起步，以草根闽商为特性，从“域名投资大王”转变为“VC天使大王”，蔡文胜的成功是域名界和互联网的经典，也成为了许多创业者们学习的榜样。
蔡文胜的5个珍藏域名共拍得577万元
“墨鱼”moyu.com以77万元结拍
“欢欢”huanhuan.com以60万元结拍
“鲜鲜”xianxian.com以60万元结拍
“微淘”weitao.com以260万元结拍，
“房子”fangzi.com以120万元结拍
天使投资人蔡文胜：百度从我手上买走奇艺域名
4399董事长蔡文胜秀域名：拥有多个行业域名
蔡文胜在微博中展示自己的域名(腾讯科技配图)
腾讯科技讯（胡祥宝）
9月1日消息，知名天使投资人、4399游戏董事长蔡文胜今天在腾讯微博（http://t.qq.com/caiwensheng）上展示自己拥有的域名，并称百度旗下视频网站奇艺网的域名就是自己转让的，具体金额暂未公布。
此前，奇艺网CEO龚宇也曾对媒体表示，该网站的域名确实是从蔡文胜所办的企业购买而来。
据了解，蔡文胜除了转让奇艺的域名外，还转让了haozu.com好租网、kaiqi.com开奇网、chinaagri.com中国粮油、baitong.com中国关系网等域名。
此外，蔡文胜还展示了自己收藏的众多行业域名，如dashi.com大师、pingguo.com苹果、yihao.com一号、wuxia.com武侠、jiaju.com
家具、dengju.com灯具、jieju.com洁具、rihua.com日化、shebei.com设备等。
蔡文胜出生在福建农村,高中时辍学，起初在互联网领域中以注册并销售域名而出名。他注册的有价值的域名包括：romantic.com、t.cn以及2007年卖给谷歌的g.cn。
蔡文胜手中域名估值超1亿美元
4月22日小米公司启用新域名mi.com，原有域名xiaomi.com已跳转至mi.com。小米科技CEO雷军在微博表示更改域名是为适应小米国际化战略，“估计算得上中国互联网史上最贵域名”。有消息称小米为购买此域名支付了360万美元，约2000万元。
2013年，有4家电商更换了域名：京东将原有的 360buy.com 变成了jd.唯品会(156.35, 2.80,
1.82%)将域名从vipshop.com换为vip.com，据爆料，俩家公司为购买新域名都支付上千万元；易迅从51buy.com换为yixun.一号店将yihaodian.com更新为yhd.com。
域名对互联网企业的品牌、营销起到非常大的作用，好的域名简单易记、朗朗上口、能很好地嫁接企业、品牌形象，每年可为企业节省一大笔广告推广费用，所以众多企业才不惜重金购入域名，更换域名。而那些颇具慧眼、抢得先机的域名投资人在中国20年来的互联网大潮中也是赚的盆满钵满。下面我们就为您盘点下那些成功投资域名的大玩家：
蔡文胜是中国的域名投资大王，坊间传闻他拥有十多万个互联网域名，总估值超过1亿美元，其拥有的域名涉及各行各业。蔡文胜2000年开始上网，买了第一台电脑，
日就注册了第一个域名，叫yikatong.com，他还有注册了一大堆的域名，但等了一年都没人买。
到2000年底，他几乎快要放弃了。后来有一天，他查一个域名，据蔡回忆，应该是lijiang.com，他找到了但不能注册。他还查到，这个域名还有5天就过期了。蔡文胜这才了解到原来域名是可放出来重新注册的。他后来就慢慢地建了一个库，把中国知名的商标、出名的城市都记下来，当时他在电视上看到白猫、黑猫这些品牌就记下来，看能否注册。他就这样慢慢建立一个库，名单越积越多，查什么时候到期，就慢慢知道什么时候抢注了。
他开始抢注的时候是2000年12月，后来发生了一件非常重要的事，蔡文胜在一次演讲中回忆到：“2001年2月，中美间的海底电缆断了，那天我要抢注抢注不了，很着急，当时我打电话给中国注册商骂他们，注册商告诉我，他们可以在紧急的情况下给我注册域名，所以在2001年、2002年这两年是我最黄金的时期，世界上过期的最好域名，只要我想要，基本上都被我拿到了。”
蔡文胜在行业域名上多是主打拼音域名策略，如huangjin.com(黄金)、zuanshi.com(钻石)、qiche.com(汽车)；在人文地理类域名投资上也是奉行这个策略，如puyang.com(濮阳)、chuzhou.com(滁州)、
jingdezhen.com(景德镇)等，另外，
chuangxin.com(创新工场)、wanmei.com(完美时空)、baofeng.com(暴风影音)、wuxia.com(武侠)、dajie.com(大街网)等也是出自蔡文胜之手。
综合易名中国等网站的相关报道，蔡文胜出售过的知名域名有：
蔡文胜出售过的知名域名
蔡文胜出售过的知名域名
他经手过的域名有：
6.cn( 六间房)
3g.cn( 3G门户)
tudou.com (土豆)
kuxun.com (酷讯)
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}