渗透测试实战：从外网到域控的完整攻击链分析

1. 初始信息收集与入口点获取

1.1 FTP匿名登录

发现目标开放21端口FTP服务
使用匿名登录(用户名: anonymous, 密码可为空或任意)
登录后未发现有用信息，但确认了匿名登录漏洞存在

1.2 文件上传功能分析

80端口存在文件上传功能
初步判断可能存在WAF防护
后续通过其他途径获取源码后发现条件竞争漏洞无法利用
文件上传功能可能为迷惑项

2. 向日葵RCE漏洞利用

2.1 漏洞识别

发现49162端口运行向日葵远程控制软件
确认版本为SunloginClient 11.0.0.33
该版本存在CNVD-2022-10270漏洞

2.2 漏洞利用细节

端口识别：
- SunloginClient启动后会在40000以上随机开放一个web端口
认证绕过：
- 访问/cgi-bin/rpc?action=verify-haras可获取CID
- 无需认证即可获取关键标识符
RCE执行：
- 使用公开PoC执行命令：https://github.com/Mr-xn/sunlogin_rce
- 可获取系统级命令执行权限

2.3 获取持久化访问

尝试开启3389端口失败
使用Vshell上线
由于命令过长，采用分段写入方式

3. 内网信息收集

3.1 敏感文件发现

路径：C:/Users/user/Documents/passwd.txt
发现存储的凭据信息

3.2 网络拓扑发现

确认系统为双网卡配置
使用fscan进行内网扫描
发现另一台主机：192.168.1.200

3.3 代理搭建

使用Vshell开放2000端口作为代理通道
建立内网横向移动的基础

4. 横向移动与权限提升

4.1 初始访问

使用发现的账号密码尝试登录
列出目标系统用户信息

4.2 Evil-WinRM利用

使用evil-winrm工具连接目标系统
获取交互式命令行访问权限

5. Active Directory信息收集

5.1 SharpHound收集

上传SharpHound.exe工具
执行域内信息收集
获取完整的AD拓扑和权限关系

5.2 权限关系分析

KIM与JIM：
- KIM@SEC.LAB对JIM@SEC.LAB有GenericAll权限
- 可对JIM执行读取、修改等操作
JIM、MHT、TOM链：
- JIM@SEC.LAB对MHT@SEC.LAB有ForceChangePassword权限
- MHT@SEC.LAB对TOM@SEC.LAB有GenericWrite权限
- 形成JIM→MHT→TOM的影响链

6. 权限滥用与域控接管

6.1 密码修改攻击

使用KIM账户修改JIM账户密码
使用JIM账户强制修改MHT账户密码
密码修改成功，获取MHT账户控制权

6.2 Kerberos票据攻击

SPN发现：
- 使用mht账户查询Active Directory
- 尝试impacket-GetUserSPNs失败
- 改用targetedKerberoast.py成功：https://github.com/ShutdownRepo/targetedKerberoast
票据提取：
- 提取用户Tom的Kerberos TGS票据哈希
- 对哈希进行离线破解
- 成功获取Tom账户凭证

6.3 票据缓存利用

获取Tom的TGT票据
解析TGT票据内容
在/etc/hosts中添加域名与IP映射
修改Tom账户密码
配置票据缓存环境变量

6.4 委派攻击

利用U2U(User-to-User)委派机制
获取管理员模拟票据
使用管理员票据执行远程命令
最终获取域管理员权限

7. 工具与资源总结

工具/资源	用途	链接
sunlogin_rce	向日葵RCE利用	https://github.com/Mr-xn/sunlogin_rce
targetedKerberoast	Kerberos票据提取	https://github.com/ShutdownRepo/targetedKerberoast
fscan	内网扫描	-
SharpHound	AD信息收集	-
evil-winrm	WinRM连接工具	-
impacket	多种AD攻击工具集	-

8. 防御建议

向日葵服务：
- 及时更新到安全版本
- 限制向日葵服务的网络访问
AD安全：
- 定期审计委派权限
- 监控异常Kerberos票据请求
- 限制GenericAll等过高权限
系统加固：
- 禁用FTP匿名登录
- 对文件上传功能实施严格限制
- 监控异常进程创建和网络连接
检测措施：
- 部署EDR监控异常凭证使用
- 建立SPN变更监控机制
- 对ForceChangePassword操作进行告警

渗透测试实战：从外网到域控的完整攻击链分析 1. 初始信息收集与入口点获取 1.1 FTP匿名登录发现目标开放21端口FTP服务使用匿名登录(用户名: anonymous, 密码可为空或任意) 登录后未发现有用信息，但确认了匿名登录漏洞存在 1.2 文件上传功能分析 80端口存在文件上传功能初步判断可能存在WAF防护后续通过其他途径获取源码后发现条件竞争漏洞无法利用文件上传功能可能为迷惑项 2. 向日葵RCE漏洞利用 2.1 漏洞识别发现49162端口运行向日葵远程控制软件确认版本为SunloginClient 11.0.0.33 该版本存在CNVD-2022-10270漏洞 2.2 漏洞利用细节端口识别： SunloginClient启动后会在40000以上随机开放一个web端口认证绕过：访问 /cgi-bin/rpc?action=verify-haras 可获取CID 无需认证即可获取关键标识符 RCE执行：使用公开PoC执行命令：https://github.com/Mr-xn/sunlogin_ rce 可获取系统级命令执行权限 2.3 获取持久化访问尝试开启3389端口失败使用Vshell上线由于命令过长，采用分段写入方式 3. 内网信息收集 3.1 敏感文件发现路径： C:/Users/user/Documents/passwd.txt 发现存储的凭据信息 3.2 网络拓扑发现确认系统为双网卡配置使用fscan进行内网扫描发现另一台主机：192.168.1.200 3.3 代理搭建使用Vshell开放2000端口作为代理通道建立内网横向移动的基础 4. 横向移动与权限提升 4.1 初始访问使用发现的账号密码尝试登录列出目标系统用户信息 4.2 Evil-WinRM利用使用evil-winrm工具连接目标系统获取交互式命令行访问权限 5. Active Directory信息收集 5.1 SharpHound收集上传SharpHound.exe工具执行域内信息收集获取完整的AD拓扑和权限关系 5.2 权限关系分析 KIM与JIM ： KIM@SEC.LAB对JIM@SEC.LAB有GenericAll权限可对JIM执行读取、修改等操作 JIM、MHT、TOM链： JIM@SEC.LAB对MHT@SEC.LAB有ForceChangePassword权限 MHT@SEC.LAB对TOM@SEC.LAB有GenericWrite权限形成JIM→MHT→TOM的影响链 6. 权限滥用与域控接管 6.1 密码修改攻击使用KIM账户修改JIM账户密码使用JIM账户强制修改MHT账户密码密码修改成功，获取MHT账户控制权 6.2 Kerberos票据攻击 SPN发现：使用mht账户查询Active Directory 尝试impacket-GetUserSPNs失败改用targetedKerberoast.py成功：https://github.com/ShutdownRepo/targetedKerberoast 票据提取：提取用户Tom的Kerberos TGS票据哈希对哈希进行离线破解成功获取Tom账户凭证 6.3 票据缓存利用获取Tom的TGT票据解析TGT票据内容在/etc/hosts中添加域名与IP映射修改Tom账户密码配置票据缓存环境变量 6.4 委派攻击利用U2U(User-to-User)委派机制获取管理员模拟票据使用管理员票据执行远程命令最终获取域管理员权限 7. 工具与资源总结 | 工具/资源 | 用途 | 链接 | |----------|------|------| | sunlogin_ rce | 向日葵RCE利用 | https://github.com/Mr-xn/sunlogin_ rce | | targetedKerberoast | Kerberos票据提取 | https://github.com/ShutdownRepo/targetedKerberoast | | fscan | 内网扫描 | - | | SharpHound | AD信息收集 | - | | evil-winrm | WinRM连接工具 | - | | impacket | 多种AD攻击工具集 | - | 8. 防御建议向日葵服务：及时更新到安全版本限制向日葵服务的网络访问 AD安全：定期审计委派权限监控异常Kerberos票据请求限制GenericAll等过高权限系统加固：禁用FTP匿名登录对文件上传功能实施严格限制监控异常进程创建和网络连接检测措施：部署EDR监控异常凭证使用建立SPN变更监控机制对ForceChangePassword操作进行告警