域渗透完全绕开安全组件技术详解<\/h1>

1. 环境概述与挑战<\/h2>

1.1 防御组件分析<\/h3>

微软ATP组件<\/strong>：企业级终端检测与响应(EDR)解决方案<\/li>
Fortinet<\/strong>：综合性网络安全平台<\/li>

CrowdStrike Falcon<\/strong>：北美顶级EDR，对攻击工具检测能力极强<\/li> <\/ul>
1.2 渗透限制条件<\/h3>

微软TSG团队定期打补丁，CVE漏洞利用难度大<\/li>
安全组件对常见工具(Mimikatz等)有深度检测<\/li>
免杀后仍可能触发告警<\/li>
域内补丁由DC统一管理，本地主机不记录完整补丁信息<\/li> <\/ul>
2. 信息收集阶段<\/h2>
2.1 基础信息收集<\/h3>
# 系统信息(补丁信息可能不完整)<\/span> <\/span><\/span>systeminfo <\/span><\/span> <\/span><\/span># 进程列表(确认安全组件)<\/span> <\/span><\/span>tasklist <\/span><\/span> <\/span><\/span># 网络配置信息<\/span> <\/span><\/span>ipconfig \/all <\/span><\/span> <\/span><\/span># 域时间同步(确认域控制器)<\/span> <\/span><\/span>net time \/domain <\/span><\/span> <\/span><\/span># DNS查询<\/span> <\/span><\/span>nslookup <domain> <\/span><\/span><\/code><\/pre>2.2 域环境信息<\/h3> # 域管理员查询<\/span> <\/span><\/span>net group "Domain Admins"<\/span> \/all <\/span><\/span> <\/span><\/span># 企业管理员查询<\/span> <\/span><\/span>net group "Enterprise Admins"<\/span> \/domain <\/span><\/span> <\/span><\/span># 域控制器查询<\/span> <\/span><\/span>net group "Domain Controllers"<\/span> \/domain <\/span><\/span> <\/span><\/span># SPN服务查询<\/span> <\/span><\/span>setspn -q *\/* | findstr "<keyword>"<\/span> <\/span><\/span><\/code><\/pre>3. 传统工具尝试与失败<\/h2> 3.1 Mimikatz尝试<\/h3> 直接运行被Defender和Falcon同时检测<\/li> 免杀技术(Out-EncryptedScript\/Xencrypt)仍被拦截<\/li> 内置服务+XSL加载可短暂运行但功能受限<\/li> <\/ul> 3.2 PowerShell工具尝试<\/h3> Invoke函数和PowerShell模块被实时检测<\/li> 触发安全告警但未引起SOC立即响应<\/li> <\/ul> 4. 成功利用的技术路径<\/h2> 4.1 工具选择<\/h3> Impacket套件<\/strong>：Python实现的协议库，规避.exe检测<\/li> 关键脚本：secretdump.py, smbclient.py等<\/li> <\/ul> 4.2 PetitPotam攻击流程<\/h3> 4.2.1 攻击原理<\/h4> 利用EfsRpcOpenFileRaw函数进行身份验证<\/li> 通过MS-EFSR协议获取NTLM-Hash<\/li> 需要NTLM认证可连接的DC主机<\/li> <\/ul> 4.2.2 实施步骤<\/h4> 环境确认<\/strong><\/p> 检查Lan Manager身份验证级别<\/li> 确认匿名访问的命名管道<\/li> <\/ul> <\/li> 发起PetitPotam攻击<\/strong><\/p> request =<\/span> EfsRpcEncryptFileSrv() <\/span><\/span>request['FileName'<\/span>] =<\/span> '<\/span>\\\\<\/span>%s<\/span>\\<\/span>path<\/span>\\<\/span>test.txt<\/span>\x00<\/span>'<\/span> %<\/span> listener <\/span><\/span><\/code><\/pre><\/li> Responder监听<\/strong><\/p> 需ROOT权限<\/li> 捕获NTLMv1-ssp凭证<\/li> <\/ul> <\/li> NTLM降级处理<\/strong><\/p> 修改challenge值为1122334455667788<\/li> 或使用在线解密工具<\/li> <\/ul> <\/li> 凭证破解<\/strong><\/p> 使用hashcat或彩虹表<\/li> 强密码建议使用在线破解服务<\/li> <\/ul> <\/li> DCSync攻击<\/strong><\/p> python3 secretsdump.py <domain>\/<user>@<dc_ip> -hashes <lmhash>:<nthash> <\/span><\/span><\/code><\/pre><\/li> 哈希传递(PTH)<\/strong><\/p> python3 smbclient.py <domain>\/<user>@<dc_ip> -hashes <lmhash>:<nthash> <\/span><\/span><\/code><\/pre><\/li> 权限提升<\/strong><\/p> 使用incognito2等工具<\/li> 修改特征值规避检测<\/li> <\/ul> <\/li> <\/ol> 5. 关键绕过技术<\/h2> 5.1 安全组件规避策略<\/h3> 使用Python工具替代传统.exe工具<\/li> 利用合法协议(SMB, LDAP等)进行隐蔽通信<\/li> 特征值修改避免模式匹配<\/li> 利用内置服务加载规避进程监控<\/li> <\/ol> 5.2 检测规避要点<\/h3> 避免直接使用知名攻击工具原版<\/li> 协议级攻击比工具级攻击更隐蔽<\/li> 利用域内合法通信渠道<\/li> 控制攻击节奏避免触发频率检测<\/li> <\/ul> 6. 防御建议<\/h2> 6.1 针对PetitPotam<\/h3> 禁用EfsRpcOpenFileRaw函数<\/li> 限制匿名访问命名管道<\/li> 监控异常MS-EFSR协议请求<\/li> <\/ul> 6.2 通用防御措施<\/h3> 强制使用Kerberos认证，禁用NTLM<\/li> 启用SMB签名防止Relay攻击<\/li> 监控异常DCSync行为<\/li> 限制域管理员账户使用范围<\/li> <\/ul> 7. 总结<\/h2> 该渗透路径通过以下关键点实现绕过：<\/p> 放弃传统工具转向Python实现的协议级工具<\/li> 利用协议漏洞而非软件漏洞<\/li> 分阶段攻击降低单次操作风险<\/li> 合理利用域内信任关系<\/li> 特征混淆避免静态检测<\/li> <\/ol> 完整攻击链展示了在强安全防护环境下，通过深入理解协议和认证机制，仍可能找到攻击路径的技术思路。<\/p>