关于某次授权的大型内网渗透测试

字数 1480 2025-08-06 12:20:54

大型内网渗透测试实战教学文档

1. 测试背景与前期准备

1.1 测试环境

授权渗透测试环境
多域控主机架构
主要域：FPC.LOCAL (AVV.org)
操作系统：Windows Server 2012 R2

1.2 初始渗透点

任意文件上传漏洞（头像上传处）
上传冰蝎(Behinder)Webshell获取初始权限

2. 初始信息收集

2.1 杀软检测

通过tasklist查看运行进程，发现以下安全产品：

WRSA.exe (Webroot SecureAnywhere)
Veeam备份软件
OpenDNS审计服务
ScreenConnect远程管理工具

2.2 系统信息收集

systeminfo # 确认系统版本
hostname # 获取主机名
ipconfig /all # 查看网络配置

3. 权限提升

3.1 提权方法

使用"烂土豆"(Rotten Potato)漏洞进行提权
进程迁移至lsass.exe进程保持权限

4. 内网信息收集

4.1 域信息收集

net group "domain controllers" /domain # 列出所有域控
net group "domain admins" /domain # 列出域管理员
net time /domain # 确定当前归属域控
netdom query pdc # 查询主域控制器

发现域控：

AVV-DC1$ (主域控)
AVV-DC2$
AVV-DHDC01$
AVV-DHDC02$

域管账户：

fpcadmin
mqd.ns
mqd.rmm
mqd.tdv

4.2 网络拓扑探测

使用CS的portscan插件扫描多个网段：

portscan 10.2.0.0/24
portscan 10.2.92.30/24
portscan 10.6.0.10/24
portscan 10.11.1.12/24

使用fscan扫描发现FTP匿名登录漏洞

5. 凭证获取

5.1 Hash抓取

获取到关键凭证：

用户名：mqd.tdv
域：FPC
NTLM：7007ebae678042f1cf112578ac43bf68
明文密码：QWE123456QE!@#

6. 内网横向移动

6.1 密码喷洒攻击

使用获取的凭证进行密码喷洒
成功上线74台主机（CS中）
通过MSF上线多台主机

6.2 域控访问问题

由于操作失误导致第二天域控令牌失效
系统错误：无法将当前进程的令牌传递给新进程

6.3 备用横向方法尝试

抓取已控主机Hash：检查是否有其他域管登录痕迹（失败）
MS17-010漏洞利用：检测发现不存在该漏洞（失败）
CVE-2020-1472漏洞利用：尝试攻击子域控（失败）
Exchange服务器攻击：尝试中继攻击（失败）

6.4 成功横向方法

抓取100+机器用户Hash构造密码表
重新进行密码喷洒攻击
成功上线DC2子域控

7. 权限维持技术

7.1 域控权限维持方法

进程注入：将当前进程注入lsass.exe

注册表自启动：

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "C:\Windows\Temp\start.exe"

添加域管理员：使用CS的lstar插件添加新域管

7.2 其他域控上线

通过新添加的域管凭证横向移动至其他域控

8. 技术总结与经验

8.1 关键技巧

域管理员添加：在有权限时添加域管可简化横向移动
CS进程注入：实现system权限维持的有效方法
密码喷洒：机器用户Hash收集对横向至关重要
SPN服务横向：通过邮件服务器获取域控权限
权限维持方法：开机自启动、winrm、psexec等

8.2 不足之处与改进

邮件服务器利用不足：未充分通过邮件服务器获取DC权限
SPN票据利用不足：未有效利用MSSQL和CIFS的SPN票据
白银票据未使用：未尝试白银票据横向技术

9. 防御建议

9.1 针对发现的漏洞

修复任意文件上传漏洞
加强域管密码复杂度
限制域管账户登录范围

9.2 通用防御措施

启用LSA保护：防止凭证窃取
限制特权账户使用：实施Just Enough Administration
监控异常登录行为：特别是域控的异常登录
定期更新域控系统：修补已知漏洞
实施网络分段：限制域控访问范围

附录：常用命令速查

信息收集

net group "domain controllers" /domain
net group "domain admins" /domain
net time /domain
netdom query pdc

权限维持

# 注册表自启动
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "C:\Windows\Temp\start.exe"

# 添加域用户
net user username password /add /domain
net group "Domain Admins" username /add /domain

横向移动

# 使用psexec横向
psexec \\target -u domain\user -p password cmd.exe

# WMI执行
wmic /node:target /user:domain\user /password:password process call create "cmd.exe"

大型内网渗透测试实战教学文档 1. 测试背景与前期准备 1.1 测试环境授权渗透测试环境多域控主机架构主要域：FPC.LOCAL (AVV.org) 操作系统：Windows Server 2012 R2 1.2 初始渗透点任意文件上传漏洞（头像上传处）上传冰蝎(Behinder)Webshell获取初始权限 2. 初始信息收集 2.1 杀软检测通过 tasklist 查看运行进程，发现以下安全产品： WRSA.exe (Webroot SecureAnywhere) Veeam备份软件 OpenDNS审计服务 ScreenConnect远程管理工具 2.2 系统信息收集 3. 权限提升 3.1 提权方法使用"烂土豆"(Rotten Potato)漏洞进行提权进程迁移至lsass.exe进程保持权限 4. 内网信息收集 4.1 域信息收集发现域控： AVV-DC1$ (主域控) AVV-DC2$ AVV-DHDC01$ AVV-DHDC02$ 域管账户： fpcadmin mqd.ns mqd.rmm mqd.tdv 4.2 网络拓扑探测使用CS的portscan插件扫描多个网段：使用fscan扫描发现FTP匿名登录漏洞 5. 凭证获取 5.1 Hash抓取获取到关键凭证：用户名：mqd.tdv 域：FPC NTLM：7007ebae678042f1cf112578ac43bf68 明文密码：QWE123456QE !@# 6. 内网横向移动 6.1 密码喷洒攻击使用获取的凭证进行密码喷洒成功上线74台主机（CS中）通过MSF上线多台主机 6.2 域控访问问题由于操作失误导致第二天域控令牌失效系统错误：无法将当前进程的令牌传递给新进程 6.3 备用横向方法尝试抓取已控主机Hash ：检查是否有其他域管登录痕迹（失败） MS17-010漏洞利用：检测发现不存在该漏洞（失败） CVE-2020-1472漏洞利用：尝试攻击子域控（失败） Exchange服务器攻击：尝试中继攻击（失败） 6.4 成功横向方法抓取100+机器用户Hash构造密码表重新进行密码喷洒攻击成功上线DC2子域控 7. 权限维持技术 7.1 域控权限维持方法进程注入：将当前进程注入lsass.exe 注册表自启动：添加域管理员：使用CS的lstar插件添加新域管 7.2 其他域控上线通过新添加的域管凭证横向移动至其他域控 8. 技术总结与经验 8.1 关键技巧域管理员添加：在有权限时添加域管可简化横向移动 CS进程注入：实现system权限维持的有效方法密码喷洒：机器用户Hash收集对横向至关重要 SPN服务横向：通过邮件服务器获取域控权限权限维持方法：开机自启动、winrm、psexec等 8.2 不足之处与改进邮件服务器利用不足：未充分通过邮件服务器获取DC权限 SPN票据利用不足：未有效利用MSSQL和CIFS的SPN票据白银票据未使用：未尝试白银票据横向技术 9. 防御建议 9.1 针对发现的漏洞修复任意文件上传漏洞加强域管密码复杂度限制域管账户登录范围 9.2 通用防御措施启用LSA保护：防止凭证窃取限制特权账户使用：实施Just Enough Administration 监控异常登录行为：特别是域控的异常登录定期更新域控系统：修补已知漏洞实施网络分段：限制域控访问范围附录：常用命令速查信息收集权限维持横向移动