网鼎杯2022半决赛渗透测试实战教学

1. 初始信息收集与WordPress渗透

1.1 扫描与识别

使用fscan进行初步扫描
发现WordPress站点，版本为6.2.6
使用wpscan识别主题为twentytwentyone

1.2 WordPress后台入侵

发现弱密码admin/123456
利用Theme File Editor功能写入Webshell

使用蚁剑连接，获取第一个flag：

flag{c0af2d06-a484-438f-8805-328a3dccae54}

1.3 横向移动准备

反弹shell到VPS
设置代理通道
上传fscan进行内网扫描

2. 内网渗透与永恒之蓝利用

2.1 漏洞发现

发现IP 172.22.15.24存在MS17-010(永恒之蓝)漏洞

2.2 漏洞利用

利用永恒之蓝获取系统管理员权限
使用dump获取哈希值
获取Administrator的NTLM哈希：
```
0e52d03e9b939997401466a0ec5a9cbc
```

2.3 哈希传递攻击

注意：需要包含前面的冒号:进行传递

成功获取第二个flag：

flag{fce2b1da-36a2-4f92-bee1-716e8c7ee313}

3. 数据库信息收集与AS-REP攻击

3.1 数据库访问

发现phpstudy环境
获取数据库凭据
通过phpMyAdmin提取用户信息

3.2 AS-REP攻击准备

使用Python脚本提取邮箱信息
发现两个未启用Kerberos预认证的用户

3.3 密码破解

使用hashcat破解获取明文凭据
通过RDP登录到172.22.15.35
确认已加入域环境

4. 域环境分析与RBCD攻击

4.1 域环境分析

使用Bloodhound分析域环境
发现lixiuying用户对XR-0687具有GenericWrite权限

4.2 RBCD攻击步骤

添加机器账户
上传PowerView.ps1获取机器账户SID
修改XR-0687的msDS-AllowedToActOnBehalfOfOtherIdentity属性
伪造Administrator的Service Ticket(ST)
导入票据
修改hosts文件(必须使用域名访问)

成功获取第三个flag：

flag{81b60625-6fa0-4ad2-b0e4-3b1d6748f37b}

5. AD-CS攻击与CVE-2022-26923利用

5.1 漏洞背景

利用机器账户身份验证基于dNSHostName的特性
通过篡改该属性为域管理员实现提权

5.2 攻击步骤

修改hosts文件
枚举可用的证书模板
创建新机器账户(如02)
- 关键参数：-dns XR-DC01.xiaorang.lab(DNSHOSTNAME伪造)
使用机器账户申请证书
- 注意：可能多次尝试才能成功
获取的证书包含CT_FLAG_SUBJECT_ALT_REQUIRE_DNS标志
- 指向XR-DC01.xiaorang.lab
- 使证书具备域控身份

5.3 认证绕过

遇到KDC_ERR_PADATA_TYPE_NOSUPP错误
从Kerberos认证转为Schannel认证
将PFX证书拆分为证书和私钥
测试连接

5.4 最终提权

配置机器账户指向DC01的RBCD
伪造Administrator的ST
导入ST
哈希传递成功登录

获取最终flag：

flag{33a4c351-dbd0-4e00-aa4b-a8297a6fd691}

6. 关键知识点总结

6.1 攻击技术

WordPress主题编辑器漏洞利用
永恒之蓝(MS17-010)漏洞利用
哈希传递攻击(PTH)
AS-REP Roasting攻击
基于资源的约束委派(RBCD)攻击
AD CS证书服务攻击(CVE-2022-26923)

6.2 工具使用

fscan: 内网扫描
wpscan: WordPress漏洞扫描
蚁剑: Webshell管理
hashcat: 密码破解
Bloodhound: 域环境分析
PowerView: PowerShell域环境工具
Impacket: 网络协议工具包

6.3 重要注意事项

哈希传递时需要包含冒号
RBCD攻击必须使用域名而非IP
AD CS攻击可能需要多次尝试
遇到Kerberos错误时可尝试Schannel认证
证书中的CT_FLAG_SUBJECT_ALT_REQUIRE_DNS标志是关键

7. 防御建议

WordPress安全:
- 禁用主题/插件编辑器
- 使用强密码
- 及时更新
内网安全:
- 修补永恒之蓝等已知漏洞
- 限制NTLM使用
- 监控异常哈希登录
域安全:
- 限制GenericWrite权限
- 监控机器账户创建
- 限制证书模板权限
- 启用Kerberos预认证
AD CS安全:
- 限制证书申请权限
- 监控异常证书请求
- 及时安装AD CS相关补丁

网鼎杯2022半决赛渗透测试实战教学 1. 初始信息收集与WordPress渗透 1.1 扫描与识别使用 fscan 进行初步扫描发现WordPress站点，版本为6.2.6 使用 wpscan 识别主题为 twentytwentyone 1.2 WordPress后台入侵发现弱密码 admin/123456 利用 Theme File Editor 功能写入Webshell 使用蚁剑连接，获取第一个flag： 1.3 横向移动准备反弹shell到VPS 设置代理通道上传 fscan 进行内网扫描 2. 内网渗透与永恒之蓝利用 2.1 漏洞发现发现IP 172.22.15.24 存在MS17-010(永恒之蓝)漏洞 2.2 漏洞利用利用永恒之蓝获取系统管理员权限使用 dump 获取哈希值获取Administrator的NTLM哈希： 2.3 哈希传递攻击注意：需要包含前面的冒号 : 进行传递成功获取第二个flag： 3. 数据库信息收集与AS-REP攻击 3.1 数据库访问发现phpstudy环境获取数据库凭据通过phpMyAdmin提取用户信息 3.2 AS-REP攻击准备使用Python脚本提取邮箱信息发现两个未启用Kerberos预认证的用户 3.3 密码破解使用hashcat破解获取明文凭据通过RDP登录到 172.22.15.35 确认已加入域环境 4. 域环境分析与RBCD攻击 4.1 域环境分析使用Bloodhound分析域环境发现 lixiuying 用户对 XR-0687 具有 GenericWrite 权限 4.2 RBCD攻击步骤添加机器账户上传 PowerView.ps1 获取机器账户SID 修改 XR-0687 的 msDS-AllowedToActOnBehalfOfOtherIdentity 属性伪造Administrator的Service Ticket(ST) 导入票据修改hosts文件(必须使用域名访问) 成功获取第三个flag： 5. AD-CS攻击与CVE-2022-26923利用 5.1 漏洞背景利用机器账户身份验证基于 dNSHostName 的特性通过篡改该属性为域管理员实现提权 5.2 攻击步骤修改hosts文件枚举可用的证书模板创建新机器账户(如02) 关键参数： -dns XR-DC01.xiaorang.lab (DNSHOSTNAME伪造) 使用机器账户申请证书注意：可能多次尝试才能成功获取的证书包含 CT_FLAG_SUBJECT_ALT_REQUIRE_DNS 标志指向 XR-DC01.xiaorang.lab 使证书具备域控身份 5.3 认证绕过遇到 KDC_ERR_PADATA_TYPE_NOSUPP 错误从Kerberos认证转为Schannel认证将PFX证书拆分为证书和私钥测试连接 5.4 最终提权配置机器账户指向DC01的RBCD 伪造Administrator的ST 导入ST 哈希传递成功登录获取最终flag： 6. 关键知识点总结 6.1 攻击技术 WordPress主题编辑器漏洞利用永恒之蓝(MS17-010)漏洞利用哈希传递攻击(PTH) AS-REP Roasting攻击基于资源的约束委派(RBCD)攻击 AD CS证书服务攻击(CVE-2022-26923) 6.2 工具使用 fscan: 内网扫描 wpscan: WordPress漏洞扫描蚁剑: Webshell管理 hashcat: 密码破解 Bloodhound: 域环境分析 PowerView: PowerShell域环境工具 Impacket: 网络协议工具包 6.3 重要注意事项哈希传递时需要包含冒号 RBCD攻击必须使用域名而非IP AD CS攻击可能需要多次尝试遇到Kerberos错误时可尝试Schannel认证证书中的 CT_FLAG_SUBJECT_ALT_REQUIRE_DNS 标志是关键 7. 防御建议 WordPress安全: 禁用主题/插件编辑器使用强密码及时更新内网安全: 修补永恒之蓝等已知漏洞限制NTLM使用监控异常哈希登录域安全: 限制GenericWrite权限监控机器账户创建限制证书模板权限启用Kerberos预认证 AD CS安全: 限制证书申请权限监控异常证书请求及时安装AD CS相关补丁