渗透测试实战：从打印机到主域控制器权限获取

渗透测试实战：从打印机到主域控制器权限获取 概述 本文档详细记录了一次真实的渗透测试过程，测试者从会议室的一台打印机开始，最终获取了主域控制器的权限。整个过程展示了如何利用常见的配置错误和安全漏洞在企业网络中进行横向移动。 测试环境与限制 时间限制 ：5天测试 + 2天报告 物理限制 ：只能在会议室活动，不能接触其他计算机或去其他房间 网络接入 ：通过CISCO VOIP系统的LAN电缆连接 目标 ：在不触发SOC警报的情况下获取内部数据 第一阶段：信息收集 初始网络探测 IP获取 ：连接网络后自动获取IP，推测没有NAC(网络访问控制) DNS查询 ：使用 nslookup 检查域名服务器，但未获得有用信息 网络范围 ：172.10.1.0网络 障碍 ： 无法使用PowerShell Active Directory模块定位DC和DNS服务器 ICMP被防火墙阻止，无法ping任何系统 应对策略 尝试Responder和NTLM中继 ：使用Impacket工具包，但未成功 网络发现 ：搜索SMB共享，未发现有用信息 第二阶段：目标识别 大规模扫描 使用Nmap ：在172.10.1.0-172.10.4.0范围内扫描端口445 发现 ：3个Unix系统和Xerox C60-C70打印机/复印机 打印机利用 Web门户访问 ：端口8443和8666开放 默认凭证 ： admin:fiery.1 (EFI Fiery Server默认密码) 发现漏洞 ： 基于PHP的门户(3.0版)存在LFI(本地文件包含)漏洞 可通过门户启用FTP、电子邮件和SSH服务器 数据收集 ：配置打印机扫描备份到个人FTP 网络拓扑发现 双网卡发现 ：打印机连接两个不同网络 端口转发 ：配置proxychains访问隐藏网络 定位DC和DNS服务器 ：使用Responder获取NetNTLMv2哈希 第三阶段：权限提升 凭证获取尝试 SMB共享搜索 ：找到SYSVOL目录 groups.xml文件 ： 发现两个文件，一个最近修改(无密码)，一个2011年创建(含密码) 使用gp3finder.exe解密旧密码，但已失效 服务账户利用 发现MSSQL服务账户 ： 属于域管理员组 密码一年多未更改 成功登录 ：使用旧groups.xml密码(在服务账户描述中提到) 权限确认 ：获得域管理员权限 凭证转储 LSASS内存转储 ：通过任务管理器dump lsass.exe Mimikatz离线提取 ：获取Level3-INFRA-PUM用户凭证(金票据) 第四阶段：域控制 域结构分析 发现Child DC ：当前获取的只是子域控制器 信任关系 ：与两个不同国家的域控制器有双向信任 父域访问失败 ：暂时无法登录 数据收集 共享驱动器检查 ：使用Sysinternals的Sharenum 发现会计团队银行凭证等敏感信息 使用BITSadmin将数据下载到打印机 AD快照 ：使用ADExplorer创建计划任务，凌晨1点获取完整AD快照 第五阶段：跨域渗透 LAPS密码检查 ：发现未使用的域用户凭证 父域访问成功 ：使用该凭证登录父域控制器 范围限制 ：被告知父域超出测试范围 关键安全教训 打印机安全 ： 及时更新打印机固件和Web门户 修改默认凭证 限制不必要的服务(FTP、SSH等) 凭证管理 ： 不要将服务账户加入域管理员组 定期轮换服务账户密码 彻底删除不再使用的凭证文件(groups.xml等) 网络隔离 ： 实施适当的网络分段 监控和限制设备的多网络接口访问 安全监控 ： 实施应用白名单而不仅是反病毒 监控异常活动(如LSASS内存转储) 权限管理 ： 限制RDP访问(仅限必要人员) 谨慎管理域信任关系 技术要点总结 初始访问 ：通过打印机的默认凭证和过时Web应用 网络发现 ：利用双网卡设备作为跳板 凭证获取 ：groups.xml文件、服务账户、LSASS转储 横向移动 ：利用域信任关系和权限配置错误 数据收集 ：系统化地收集和整理AD信息 工具清单 信息收集 ：nslookup, Nmap 漏洞利用 ：Impacket工具包(Responder, NTLM中继), PRET 凭证破解 ：Hashcat, crackmapexec 权限提升 ：gp3finder.exe, Bloodhound 凭证转储 ：Mimikatz AD分析 ：ADExplorer, Sharenum 数据传输 ：BITSadmin, WinSCP 防御建议 定期审计 ：检查所有设备的默认凭证和过期服务 最小权限 ：遵循最小权限原则，特别是服务账户 日志监控 ：加强关键活动(如域管理员登录)的监控 网络分段 ：限制设备间的非必要通信 安全意识 ：培训员工识别和报告可疑活动