网鼎杯2022半决赛渗透测试实战教学<\/h1>

1. 初始信息收集与WordPress渗透<\/h2>

1.1 扫描与识别<\/h3>
使用fscan<\/code>进行初步扫描<\/li>
发现WordPress站点，版本为6.2.6<\/li>
使用wpscan<\/code>识别主题为twentytwentyone<\/code><\/li>
<\/ul>
1.2 WordPress后台入侵<\/h3>

发现弱密码admin\/123456<\/code><\/li>
利用Theme File Editor<\/code>功能写入Webshell<\/li>
使用蚁剑连接，获取第一个flag：
flag{c0af2d06-a484-438f-8805-328a3dccae54}
<\/code><\/pre>
<\/li>
<\/ul>
1.3 横向移动准备<\/h3>

反弹shell到VPS<\/li>
设置代理通道<\/li>
上传fscan<\/code>进行内网扫描<\/li>
<\/ul>
2. 内网渗透与永恒之蓝利用<\/h2>
2.1 漏洞发现<\/h3>

发现IP 172.22.15.24<\/code>存在MS17-010(永恒之蓝)漏洞<\/li>
<\/ul>
2.2 漏洞利用<\/h3>

利用永恒之蓝获取系统管理员权限<\/li>
使用dump<\/code>获取哈希值<\/li>
获取Administrator的NTLM哈希：
0e52d03e9b939997401466a0ec5a9cbc
<\/code><\/pre>
<\/li>
<\/ul>
2.3 哈希传递攻击<\/h3>

注意：需要包含前面的冒号:<\/code>进行传递<\/li>
成功获取第二个flag：
flag{fce2b1da-36a2-4f92-bee1-716e8c7ee313}
<\/code><\/pre>
<\/li>
<\/ul>
3. 数据库信息收集与AS-REP攻击<\/h2>
3.1 数据库访问<\/h3>

发现phpstudy环境<\/li>
获取数据库凭据<\/li>
通过phpMyAdmin提取用户信息<\/li>
<\/ul>
3.2 AS-REP攻击准备<\/h3>

使用Python脚本提取邮箱信息<\/li>
发现两个未启用Kerberos预认证的用户<\/li>
<\/ul>
3.3 密码破解<\/h3>

使用hashcat破解获取明文凭据<\/li>
通过RDP登录到172.22.15.35<\/code><\/li>
确认已加入域环境<\/li>
<\/ul>
4. 域环境分析与RBCD攻击<\/h2>
4.1 域环境分析<\/h3>

使用Bloodhound分析域环境<\/li>
发现lixiuying<\/code>用户对XR-0687<\/code>具有GenericWrite<\/code>权限<\/li>
<\/ul>
4.2 RBCD攻击步骤<\/h3>

添加机器账户<\/li>
上传PowerView.ps1<\/code>获取机器账户SID<\/li>
修改XR-0687<\/code>的msDS-AllowedToActOnBehalfOfOtherIdentity<\/code>属性<\/li>
伪造Administrator的Service Ticket(ST)<\/li>
导入票据<\/li>
修改hosts文件(必须使用域名访问)<\/li>
成功获取第三个flag：
flag{81b60625-6fa0-4ad2-b0e4-3b1d6748f37b}
<\/code><\/pre>
<\/li>
<\/ol>
5. AD-CS攻击与CVE-2022-26923利用<\/h2>
5.1 漏洞背景<\/h3>

利用机器账户身份验证基于dNSHostName<\/code>的特性<\/li>
通过篡改该属性为域管理员实现提权<\/li>
<\/ul>
5.2 攻击步骤<\/h3>

修改hosts文件<\/li>
枚举可用的证书模板<\/li>
创建新机器账户(如02)

关键参数：-dns XR-DC01.xiaorang.lab<\/code>(DNSHOSTNAME伪造)<\/li>
<\/ul>
<\/li>
使用机器账户申请证书

注意：可能多次尝试才能成功<\/li>
<\/ul>
<\/li>
获取的证书包含CT_FLAG_SUBJECT_ALT_REQUIRE_DNS<\/code>标志

指向XR-DC01.xiaorang.lab<\/code><\/li>
使证书具备域控身份<\/li>
<\/ul>
<\/li>
<\/ol>
5.3 认证绕过<\/h3>

遇到KDC_ERR_PADATA_TYPE_NOSUPP<\/code>错误<\/li>
从Kerberos认证转为Schannel认证<\/li>
将PFX证书拆分为证书和私钥<\/li>
测试连接<\/li>
<\/ul>
5.4 最终提权<\/h3>

配置机器账户指向DC01的RBCD<\/li>
伪造Administrator的ST<\/li>
导入ST<\/li>
哈希传递成功登录<\/li>
获取最终flag：
flag{33a4c351-dbd0-4e00-aa4b-a8297a6fd691}
<\/code><\/pre>
<\/li>
<\/ol>
6. 关键知识点总结<\/h2>
6.1 攻击技术<\/h3>

WordPress主题编辑器漏洞利用<\/li>
永恒之蓝(MS17-010)漏洞利用<\/li>
哈希传递攻击(PTH)<\/li>
AS-REP Roasting攻击<\/li>
基于资源的约束委派(RBCD)攻击<\/li>
AD CS证书服务攻击(CVE-2022-26923)<\/li>
<\/ol>
6.2 工具使用<\/h3>

fscan: 内网扫描<\/li>
wpscan: WordPress漏洞扫描<\/li>
蚁剑: Webshell管理<\/li>
hashcat: 密码破解<\/li>
Bloodhound: 域环境分析<\/li>
PowerView: PowerShell域环境工具<\/li>
Impacket: 网络协议工具包<\/li>
<\/ul>
6.3 重要注意事项<\/h3>

哈希传递时需要包含冒号<\/li>
RBCD攻击必须使用域名而非IP<\/li>
AD CS攻击可能需要多次尝试<\/li>
遇到Kerberos错误时可尝试Schannel认证<\/li>
证书中的CT_FLAG_SUBJECT_ALT_REQUIRE_DNS<\/code>标志是关键<\/li>
<\/ol>
7. 防御建议<\/h2>


WordPress安全:<\/p>

禁用主题\/插件编辑器<\/li>
使用强密码<\/li>
及时更新<\/li>
<\/ul>
<\/li>

内网安全:<\/p>

修补永恒之蓝等已知漏洞<\/li>
限制NTLM使用<\/li>
监控异常哈希登录<\/li>
<\/ul>
<\/li>

域安全:<\/p>

限制GenericWrite权限<\/li>
监控机器账户创建<\/li>
限制证书模板权限<\/li>
启用Kerberos预认证<\/li>
<\/ul>
<\/li>

AD CS安全:<\/p>

限制证书申请权限<\/li>
监控异常证书请求<\/li>
及时安装AD CS相关补丁<\/li>
<\/ul>
<\/li>
<\/ol>