ichunqiu云境 - Delegation Writeup
字数 1542 2025-08-06 18:07:59

域渗透实战:从Web到内网再到域控制的教学文档

0x1 靶场信息

  • 靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU
  • 目标外部IP:39.98.34.149
  • 这是一个完整的从Web渗透到内网再到域控制的实战环境

0x2 初始侦察与Web渗透

端口扫描

使用nmap扫描发现80端口开放HTTP服务

Web目录爆破

通过目录爆破发现/admin后台管理页面

后台登录

  • 使用弱口令成功登录后台
    • 用户名: admin
    • 密码: 123456

获取Webshell

  1. 进入模板页面,编辑header.html
  2. 添加PHP一句话木马
  3. 通过webshell执行系统命令

0x3 入口点:172.22.4.36

系统信息收集

  1. 尝试提权到root权限但失败
  2. 尝试stapbpf suid利用失败
  3. 发现diff suid可利用

获取flag01

diff --line-format=%L /dev/null /home/flag/flag01.txt

flag01中包含重要提示:用户名WIN19\Adrian

内网扫描

  1. 建立代理扫描内网445端口
  2. 发现三台重要机器:
    • 172.22.4.19 fileserver.xiaorang.lab
    • 172.22.4.7 DC01.xiaorang.lab (域控制器)
    • 172.22.4.45 win19.xiaorang.lab

密码爆破

  1. 使用rockyou.txt对用户win19\Adrian进行爆破
  2. 成功爆破出密码:babygirl1 (提示密码已过期)
  3. 使用xfreerdp远程登录WIN19并修改密码

0x4 WIN19提权 (172.22.4.45)

注册表提权

  1. 发现当前用户Adrian对注册表有完全控制权限
  2. 桌面提示指向注册表位置

提权步骤

  1. 使用msfvenom生成服务马
  2. 执行sam.bat脚本
  3. 修改注册表并启用服务
  4. 获取SAM文件,提取以下凭据:
    • Administrator NTLM hash: ba21c629d9fd56aff10c3e826323e6ab
    • 机器账户$MACHINE.ACC NTLM hash: 917234367460f3f2817aa4439f97e636

获取flag02

在WIN19上找到flag02

0x5 域控制器接管 (172.22.4.7)

域信息收集

使用机器账户收集域信息

Bloodhound分析

发现WIN19和DC01都是非约束委派配置

攻击步骤

  1. 使用Administrator账户登录WIN19
  2. 部署Rubeus工具
  3. 使用DFSCoerce强制触发DC01回连到WIN19
  4. 获取DC01的TGT票据
  5. 将Base64格式的TGT解码保存为DC01.kirbi

DCSync攻击

  1. 使用获取的票据执行DCSync攻击
  2. 获取域管凭据
  3. 使用psexec获取flag04

0x6 文件服务器接管 (172.22.4.19)

  1. 使用psexec连接文件服务器
  2. 获取flag03

0x7 关键技术与工具总结

使用工具

  1. nmap - 端口扫描
  2. rockyou.txt - 密码字典
  3. xfreerdp - 远程桌面连接
  4. msfvenom - 生成payload
  5. Rubeus - Kerberos攻击工具
  6. Bloodhound - 域环境分析工具
  7. psexec - 远程执行工具

关键技术点

  1. 弱口令利用
  2. Webshell上传与利用
  3. SUID提权
  4. 注册表提权
  5. 密码哈希提取与利用
  6. 非约束委派利用
  7. DFSCoerce强制认证
  8. DCSync攻击
  9. 票据传递攻击

防御建议

  1. 避免使用弱口令
  2. 限制后台管理权限
  3. 监控注册表关键位置修改
  4. 合理配置委派权限
  5. 保护域控制器和关键服务器
  6. 监控异常Kerberos票据请求
  7. 定期审计域内权限配置
域渗透实战:从Web到内网再到域控制的教学文档 0x1 靶场信息 靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 目标外部IP:39.98.34.149 这是一个完整的从Web渗透到内网再到域控制的实战环境 0x2 初始侦察与Web渗透 端口扫描 使用nmap扫描发现80端口开放HTTP服务 Web目录爆破 通过目录爆破发现/admin后台管理页面 后台登录 使用弱口令成功登录后台 用户名: admin 密码: 123456 获取Webshell 进入模板页面,编辑header.html 添加PHP一句话木马 通过webshell执行系统命令 0x3 入口点:172.22.4.36 系统信息收集 尝试提权到root权限但失败 尝试stapbpf suid利用失败 发现diff suid可利用 获取flag01 flag01中包含重要提示:用户名 WIN19\Adrian 内网扫描 建立代理扫描内网445端口 发现三台重要机器: 172.22.4.19 fileserver.xiaorang.lab 172.22.4.7 DC01.xiaorang.lab (域控制器) 172.22.4.45 win19.xiaorang.lab 密码爆破 使用rockyou.txt对用户 win19\Adrian 进行爆破 成功爆破出密码: babygirl1 (提示密码已过期) 使用xfreerdp远程登录WIN19并修改密码 0x4 WIN19提权 (172.22.4.45) 注册表提权 发现当前用户Adrian对注册表有完全控制权限 桌面提示指向注册表位置 提权步骤 使用msfvenom生成服务马 执行sam.bat脚本 修改注册表并启用服务 获取SAM文件,提取以下凭据: Administrator NTLM hash: ba21c629d9fd56aff10c3e826323e6ab 机器账户$MACHINE.ACC NTLM hash: 917234367460f3f2817aa4439f97e636 获取flag02 在WIN19上找到flag02 0x5 域控制器接管 (172.22.4.7) 域信息收集 使用机器账户收集域信息 Bloodhound分析 发现WIN19和DC01都是非约束委派配置 攻击步骤 使用Administrator账户登录WIN19 部署Rubeus工具 使用DFSCoerce强制触发DC01回连到WIN19 获取DC01的TGT票据 将Base64格式的TGT解码保存为DC01.kirbi DCSync攻击 使用获取的票据执行DCSync攻击 获取域管凭据 使用psexec获取flag04 0x6 文件服务器接管 (172.22.4.19) 使用psexec连接文件服务器 获取flag03 0x7 关键技术与工具总结 使用工具 nmap - 端口扫描 rockyou.txt - 密码字典 xfreerdp - 远程桌面连接 msfvenom - 生成payload Rubeus - Kerberos攻击工具 Bloodhound - 域环境分析工具 psexec - 远程执行工具 关键技术点 弱口令利用 Webshell上传与利用 SUID提权 注册表提权 密码哈希提取与利用 非约束委派利用 DFSCoerce强制认证 DCSync攻击 票据传递攻击 防御建议 避免使用弱口令 限制后台管理权限 监控注册表关键位置修改 合理配置委派权限 保护域控制器和关键服务器 监控异常Kerberos票据请求 定期审计域内权限配置