1.6K主机全域沦陷实录：从单点突破到域控接管的教学文档

1.6K主机全域沦陷实录：从单点突破到域控接管的教学文档 一、WEB打点阶段 1. 漏洞发现与利用 目标系统：某CMS（具体版本未透露） 发现漏洞：文件上传漏洞 利用方法： 复制数据包进行测试 上传jsp格式的webshell 确认Tomcat中间件运行环境（默认获得system权限） 2. 初步信息收集 执行命令确认权限： whoami → nt authority\system 检查网络环境： ipconfig /all → 发现域环境存在 二、域渗透阶段 1. 网络环境确认 确认目标机器不出网（无法ping通外部网络如www.google.com） 解决方案： HTTP隧道（尝试未成功） DNS协议上线Cobalt Strike（最终采用方案） 2. DNS协议上线CS 步骤一：基础设施准备 购买VPS和域名 配置DNS A记录指向VPS IP 步骤二：DNS配置验证 使用 ping 命令验证A记录 使用 nslookup 验证A记录（需CS监听器开启） 步骤三：CS监听器配置 创建DNS协议监听器 DNS Host设置为A记录地址 生成Stageless payload（完整木马） 3. 免杀与上线 杀软识别： tasklist /svc → 识别出哨兵一号和微软杀软 最终使用PowerShell命令成功上线（DNS协议不稳定导致常规方式失败） 4. 域内信息收集 发现1台主域控和12台辅助域控 使用工具： Fscan：扫描网段，识别主机、服务和弱口令 寻血猎犬：分析域内关系，发现11个域管理员 5. 横向移动尝试 路径分析： 通过RAMAK用户获取PHQ和FIN主机权限（失败：密码已更改） 通过BENSONP路径： BEN* 账户控制WDL主机 WDL主机保存PETRA凭据 PETRA可修改HERM密码 HERM可接管域控 遇到的障碍： WDL主机有哨兵一号杀软 无system权限无法提权 凭据过期问题 6. 突破方法 发现JOHAN** 用户凭据（其他用户登录遗留） 尝试PTK攻击（未获AES密钥但意外获得PETRA* 凭据） 使用PETRA修改HERM密码（发现域管账户已被删除） 7. 最终突破路径 横向移动到FIN主机 提权：发现SeImpersonate特权 → 使用GodPotato成功提权 读取凭据（部分凭据过期） 三、域控接管阶段 1. ADCS-ESC8漏洞利用 漏洞验证： Fscan扫描发现ADCS证书服务器 验证： curl http://10.*.*.67/certfnsh/certfnsh.asp → 返回Unauthorized和NTLM代码 利用流程： 强制认证攻击：使用PetitPotam让域控向攻击机认证 中继攻击：监听445端口接收NTLM认证 申请证书：向ADCS的web服务申请DomainController证书 获取票据：使用证书获取Kerberos票据 权限提升：伪装为高权限账户 详细步骤： 设置监听（需Linux环境，转发beacon主机流量到本地） 开启socks代理，使用ntlmrelay脚本监听 使用PetitPotam强制认证 中继成功后获取域控票据 使用Rubeus导入票据 使用mimikatz导出域内所有hash 2. 最终成果 成功控制整个域环境（1.6K台主机，2K用户） 导出所有域账户哈希 四、问题与总结 1. 遇到的问题 哈希使用问题： 导出的NTLM哈希与已知密码匹配 但无法使用域管哈希制作有效票据 PTH时需要LM哈希但只获得NTLM哈希 2. 经验总结 域渗透核心：信息收集和路径分析 多种技术组合使用的重要性 权限维持的困难（频繁的密码更改和账户删除） 漏洞利用的时机把握 五、技术要点备忘 DNS协议上线CS ：适用于不出网环境，需稳定域名和VPS 寻血猎犬分析 ：关键于复杂域环境的路径发现 PTK攻击 ：尝试获取AES密钥进行横向移动 ADCS-ESC8漏洞 ：证书服务的中继攻击突破口 PetitPotam+NTLM中继 ：强制认证结合中继的有效攻击方式 六、防御建议 针对初始入侵 ： CMS系统及时更新补丁 文件上传功能严格校验 Tomcat不使用system权限 针对域渗透 ： 定期轮换凭据 监控异常认证请求 限制域账户权限 针对最终攻击 ： 关闭不必要的ADCS服务 配置EPA防止NTLM中继 监控证书异常申请 通用防御 ： 部署EDR检测横向移动 启用日志集中分析 定期红蓝对抗演练