域渗透——NHA(NINJA HACKER ACADEMY)记录
字数 2291 2025-11-13 12:11:35

域渗透实战:NHA(NINJA HACKER ACADEMY)靶场完整攻击路径分析

靶场环境概述

NHA(NINJA HACKER ACADEMY)是一个包含两个域的多域Active Directory环境:

  • 主域:ACADEMY.NINJA.LAN
  • 子域:NINJA.HACK

环境包含5台主机,涉及Windows常规端口、Web服务(80端口)和数据库服务(1433端口)。

第一阶段:信息收集与初始访问

资产探测

主机与端口扫描结果

  • 发现5台主机,分布在两个域中
  • 开放端口包括常规Windows端口、80端口和1433端口

Web信息收集

  • 访问80端口获取到教师姓名、学生姓名信息
  • 发现两种域用户命名格式:
    • fullname@ninja.hack
    • firstname@academy.ninja.lan
  • 通过验证确认有效用户列表

SQL注入攻击

漏洞位置:搜索功能存在SQL注入漏洞

攻击步骤

  1. 使用--os-shell执行系统命令
  2. 遭遇Defender拦截,采用命令混淆技术绕过
  3. 成功获取初始立足点

权限提升

  • 初始权限:service权限
  • 使用potato系列提权技术提升至SYSTEM权限
  • 获取flag-1

凭据获取

  • 转储密码哈希,获取SQL$机器账户权限

第二阶段:域内横向移动(ACADEMY.NINJA.LAN域)

BloodHound分析

数据收集命令

SharpHound.exe --searchforest true --recursedomains true

攻击路径分析:从SQL$到域管理员权限的完整路径

WEB$主机攻击

权限分析

  • SQL$对CN=COMPUTERS,DC=ACADEMY,DC=NINJA,DC=LAN具备权限
  • 但权限未继承到WEB$计算机对象

权限继承利用

  • 使用-inheritance参数使WEB$继承父容器的ACE
  • 成功获得对WEB$的完全控制权限

基于资源的约束委派(RBCD)攻击

  1. 配置WEB$允许从攻击者控制的计算机进行委派
  2. 生成Administrator的TGT票据
  3. 使用Pass-the-Ticket(PTT)技术访问WEB$
  4. 获取frank用户和WEB$的凭据
  5. 通过logonpasswords获取frank的哈希值
  6. 获取flag-2

SHARE$主机攻击

约束委派利用

  • frank用户对SHARE$具备约束委派权限
  • 利用约束委派获取服务票据(ST)
  • 实施PTT攻击访问SHARE$
  • 获取flag-3

域控制器攻击(DC-AC$)

GMSA密码读取

  • 利用ReadGMSAPassword权限读取GMSANFS$的密码
  • 通过LSA转储获取GMSA账户凭据

权限提升路径

  1. ForceChangePassword on BACKUP

    • 利用GMSANFS$强制修改BACKUP用户密码

  2. WriteOwner on ADMINISTRATORS

    • BACKUP用户对管理员组具备WriteOwner权限
    • 将frank用户添加到管理员组
    • 获取flag-4

第三阶段:跨域攻击(NINJA.HACK域)

信任关系分析

BloodHound跨域分析

  • SID History Blocked: True(阻止SID历史记录攻击)
  • TGT Delegation: false(TGT委派不可用)
  • 需要寻找替代攻击方法

用户OLIVIA.DAVIS利用

攻击路径

  • OLIVIA.DAVIS是存在于两个域的用户
  • 从academy.ninja.lan域获取OLIVIA的哈希
  • 密码复用攻击:两个域使用相同密码

RACHEL.PHILIPS权限提升

WriteDacl权限利用

  • OLIVIA对RACHEL.PHILIPS具备WriteDacl权限
  • 修改DACL获得对RACHEL.PHILIPS的完全控制

Shadow Credential攻击

  • 域内存在证书服务(AD CS)
  • 利用Shadow Credential技术获取rachel.philips的哈希

JONIN组控制

权限继承问题

  • sanin对JONIN有权限,但rachel.philips无直接权限
  • 修改权限继承设置,使rachel.philips获得对JONIN的控制权

组成员操作

  • 将rachel.philips添加到JONIN组中

ADCS ESC4攻击

攻击条件

  • JONIN组成员具备实施ESC4攻击的权限
  • 存在易受攻击的证书模板配置

攻击步骤

  1. 利用ESC4漏洞获取域管理员证书
  2. 使用证书进行Kerberos认证
  3. 获得域管理员权限
  4. 获取flag-5

攻击技术总结

关键攻击技术

  1. SQL注入:初始访问突破口
  2. 权限继承利用:解决权限未继承问题
  3. 基于资源的约束委派(RBCD):获取机器控制权
  4. 约束委派:横向移动到其他主机
  5. GMSA密码读取:获取高权限服务账户
  6. Shadow Credential:证书基础的身份验证绕过
  7. ADCS ESC4攻击:证书模板滥用

防御建议

  1. 权限管理

    • 定期审核权限继承设置
    • 限制服务账户的过度权限

  2. 委派控制

    • 严格管理约束委派配置
    • 监控基于资源的约束委派更改

  3. 证书服务

    • 定期审计证书模板权限
    • 实施证书生命周期管理

  4. 跨域安全

    • 监控跨域认证活动
    • 实施严格的信任关系策略

结论

通过NHA靶场的完整攻击路径演示,展示了在多域Active Directory环境中从初始访问到完全域控制的完整攻击链。BloodHound工具在攻击路径发现中发挥了关键作用,而各种Active Directory安全边界的绕过技术则凸显了纵深防御的重要性。

域渗透实战:NHA(NINJA HACKER ACADEMY)靶场完整攻击路径分析 靶场环境概述 NHA(NINJA HACKER ACADEMY)是一个包含两个域的多域Active Directory环境: 主域 :ACADEMY.NINJA.LAN 子域 :NINJA.HACK 环境包含5台主机,涉及Windows常规端口、Web服务(80端口)和数据库服务(1433端口)。 第一阶段:信息收集与初始访问 资产探测 主机与端口扫描结果 : 发现5台主机,分布在两个域中 开放端口包括常规Windows端口、80端口和1433端口 Web信息收集 : 访问80端口获取到教师姓名、学生姓名信息 发现两种域用户命名格式: fullname@ninja.hack firstname@academy.ninja.lan 通过验证确认有效用户列表 SQL注入攻击 漏洞位置 :搜索功能存在SQL注入漏洞 攻击步骤 : 使用 --os-shell 执行系统命令 遭遇Defender拦截,采用命令混淆技术绕过 成功获取初始立足点 权限提升 : 初始权限:service权限 使用potato系列提权技术提升至SYSTEM权限 获取flag-1 凭据获取 : 转储密码哈希,获取SQL$机器账户权限 第二阶段:域内横向移动(ACADEMY.NINJA.LAN域) BloodHound分析 数据收集命令 : 攻击路径分析 :从SQL$到域管理员权限的完整路径 WEB$主机攻击 权限分析 : SQL$对CN=COMPUTERS,DC=ACADEMY,DC=NINJA,DC=LAN具备权限 但权限未继承到WEB$计算机对象 权限继承利用 : 使用 -inheritance 参数使WEB$继承父容器的ACE 成功获得对WEB$的完全控制权限 基于资源的约束委派(RBCD)攻击 : 配置WEB$允许从攻击者控制的计算机进行委派 生成Administrator的TGT票据 使用Pass-the-Ticket(PTT)技术访问WEB$ 获取frank用户和WEB$的凭据 通过logonpasswords获取frank的哈希值 获取flag-2 SHARE$主机攻击 约束委派利用 : frank用户对SHARE$具备约束委派权限 利用约束委派获取服务票据(ST) 实施PTT攻击访问SHARE$ 获取flag-3 域控制器攻击(DC-AC$) GMSA密码读取 : 利用ReadGMSAPassword权限读取GMSANFS$的密码 通过LSA转储获取GMSA账户凭据 权限提升路径 : ForceChangePassword on BACKUP : 利用GMSANFS$强制修改BACKUP用户密码 WriteOwner on ADMINISTRATORS : BACKUP用户对管理员组具备WriteOwner权限 将frank用户添加到管理员组 获取flag-4 第三阶段:跨域攻击(NINJA.HACK域) 信任关系分析 BloodHound跨域分析 : SID History Blocked: True(阻止SID历史记录攻击) TGT Delegation: false(TGT委派不可用) 需要寻找替代攻击方法 用户OLIVIA.DAVIS利用 攻击路径 : OLIVIA.DAVIS是存在于两个域的用户 从academy.ninja.lan域获取OLIVIA的哈希 密码复用攻击 :两个域使用相同密码 RACHEL.PHILIPS权限提升 WriteDacl权限利用 : OLIVIA对RACHEL.PHILIPS具备WriteDacl权限 修改DACL获得对RACHEL.PHILIPS的完全控制 Shadow Credential攻击 : 域内存在证书服务(AD CS) 利用Shadow Credential技术获取rachel.philips的哈希 JONIN组控制 权限继承问题 : sanin对JONIN有权限,但rachel.philips无直接权限 修改权限继承设置,使rachel.philips获得对JONIN的控制权 组成员操作 : 将rachel.philips添加到JONIN组中 ADCS ESC4攻击 攻击条件 : JONIN组成员具备实施ESC4攻击的权限 存在易受攻击的证书模板配置 攻击步骤 : 利用ESC4漏洞获取域管理员证书 使用证书进行Kerberos认证 获得域管理员权限 获取flag-5 攻击技术总结 关键攻击技术 SQL注入 :初始访问突破口 权限继承利用 :解决权限未继承问题 基于资源的约束委派(RBCD) :获取机器控制权 约束委派 :横向移动到其他主机 GMSA密码读取 :获取高权限服务账户 Shadow Credential :证书基础的身份验证绕过 ADCS ESC4攻击 :证书模板滥用 防御建议 权限管理 : 定期审核权限继承设置 限制服务账户的过度权限 委派控制 : 严格管理约束委派配置 监控基于资源的约束委派更改 证书服务 : 定期审计证书模板权限 实施证书生命周期管理 跨域安全 : 监控跨域认证活动 实施严格的信任关系策略 结论 通过NHA靶场的完整攻击路径演示,展示了在多域Active Directory环境中从初始访问到完全域控制的完整攻击链。BloodHound工具在攻击路径发现中发挥了关键作用,而各种Active Directory安全边界的绕过技术则凸显了纵深防御的重要性。