记一次渗透内网获取域控的过程
字数 2176 2025-08-10 08:28:57

内网渗透实战:从钓鱼攻击到域控获取的全过程解析

1. 渗透目标概述

本次渗透测试的目标是获取域控内某台FTP服务器中的文件。攻击者通过一系列技术手段,最终成功实现了目标。

2. 初始入侵阶段

2.1 入口获取

  • 攻击方式:钓鱼邮件攻击
  • 载荷:包含恶意附件的邮件
  • 结果:成功获取meterpreter会话
  • 初始权限:普通用户(user),但该用户在管理员组中

2.2 权限提升尝试

  1. 直接提权

    • 使用getsystem命令尝试直接提权到SYSTEM权限
    • 失败原因:虽然用户在管理员组,但当前session是普通用户权限

  2. BypassUAC提权

    • 尝试通过BypassUAC技术提权到管理员权限
    • 再次使用getsystem提权到SYSTEM权限
    • 失败原因:可能由于杀毒软件的存在

  3. 替代方案

3. 内网信息收集

3.1 主机发现

  • 使用ARP扫描发现一批内网主机
  • 通过nmap挂代理扫描,但未获得有价值信息

3.2 键盘记录

  • 使用keyscan_start启动键盘记录
  • 经过一晚上捕获,获得:
    • 三个IP地址
    • 若干用户名/密码信息

4. 内网横向移动

4.1 Web系统测试

  1. 代理设置

    • 使用Proxifier工具配置代理
    • 代理服务器:Kali IP,端口1080
    • 配置规则使Firefox和Burp流量走代理

  2. Web应用测试

    • 访问192.168.2.4发现可访问的Web系统
    • 发现明文传输的登录凭据
    • 存在用户名枚举漏洞
    • 使用键盘记录获得的信息(xxxei:xxxxxge)成功登录

  3. 漏洞利用

    • 在"系统设置-用户管理-编辑"功能中发现文件上传漏洞
    • 上传PHPinfo测试文件确认漏洞存在
    • 上传一句话木马,使用蚁剑连接(配置代理)
    • 获取Webshell后发现域环境(lxxx.com)

4.2 权限提升

  • 使用getSystem工具成功获取管理员权限

5. 域渗透阶段

5.1 域环境分析

  • DNS服务器:192.168.3.4(推测为域控)
  • 域名:LxxX
  • 域成员数量:3个

5.2 凭据获取

  1. Meterpreter迁移

    • 使用kiwi模块获取哈希时遇到32位进程限制
    • 将meterpreter会话迁移到32位进程

  2. 凭据提取

    • 使用creds_all列举系统明文密码(未获取到)
    • 使用kiwi_cmd sekurlsa::logonpasswords获取哈希
    • 成功获取域控账号密码(曾登录过当前机器)

5.3 当前资产信息

  • 192.168.1.2:办公机,普通权限,socket4代理
  • 192.168.2.4:web主机,系统权限,有账户密码,socket4代理
  • 192.168.3.4:域控,有账户密码

5.4 域控访问

  1. 准备工作

    • 关闭目标主机防火墙:netsh advfirewall set allprofiles state off
    • 开启RDP:REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

  2. 远程访问

    • 通过RDP登录192.168.2.4的服务器
    • 使用psexec从web主机弹回域控的system权限shell

6. 获取FTP权限

6.1 发现新资产

  • 发现名为"yw"的主机(推测为运维机),IP为192.168.3.2

6.2 Xshell会话密码解密

  1. 准备工作

    • 查询用户SID(解密需要)

  2. 解密工具

    • 使用SharpDecryptPwd解密Xshell保存的密码
    • 获得FTP密码:"test"

  3. 登录FTP:使用解密获得的凭据成功登录目标FTP服务器

7. 技术总结

  1. 初始入侵

    • 通过邮件钓鱼获取初始入口
    • 利用用户所在管理员组的特性尝试权限提升

  2. 信息收集

    • 键盘记录获取域内IP和业务密码
    • 通过ARP和nmap扫描发现内网资产

  3. 横向移动

    • 渗透web业务获取域内用户权限
    • 利用文件上传漏洞获取Webshell

  4. 域渗透

    • 使用kiwi模块抓取域密码
    • 利用获取的凭据登录域控

  5. 目标达成

    • 通过域控访问运维机器
    • 解密Xshell保存的FTP密码
    • 最终成功登录目标FTP服务器

8. 关键工具和技术

  1. 工具列表

    • Meterpreter
    • getSystem (权限提升)
    • Proxifier (代理管理)
    • Burp Suite (Web测试)
    • 蚁剑(Webshell管理)
    • kiwi模块(凭据提取)
    • SharpDecryptPwd (密码解密)

  2. 关键技术

    • 钓鱼攻击
    • BypassUAC
    • ARP扫描
    • 键盘记录
    • Web应用测试(用户名枚举、文件上传漏洞)
    • 域渗透技术
    • 密码解密技术

9. 防御建议

  1. 钓鱼防护

    • 加强员工安全意识培训
    • 部署邮件过滤系统

  2. 权限管理

    • 遵循最小权限原则
    • 定期审计管理员组成员

  3. 漏洞防护

    • 及时修补Web应用漏洞
    • 禁用不必要的文件上传功能

  4. 域安全

    • 启用LSA保护
    • 限制域管理员登录范围
    • 定期轮换域凭据

  5. 日志监控

    • 监控异常登录行为
    • 记录和分析安全事件

  6. 密码管理

    • 禁止在应用程序中保存明文密码
    • 使用专业密码管理工具
内网渗透实战:从钓鱼攻击到域控获取的全过程解析 1. 渗透目标概述 本次渗透测试的目标是获取域控内某台FTP服务器中的文件。攻击者通过一系列技术手段,最终成功实现了目标。 2. 初始入侵阶段 2.1 入口获取 攻击方式 :钓鱼邮件攻击 载荷 :包含恶意附件的邮件 结果 :成功获取meterpreter会话 初始权限 :普通用户(user),但该用户在管理员组中 2.2 权限提升尝试 直接提权 : 使用 getsystem 命令尝试直接提权到SYSTEM权限 失败原因:虽然用户在管理员组,但当前session是普通用户权限 BypassUAC提权 : 尝试通过BypassUAC技术提权到管理员权限 再次使用 getsystem 提权到SYSTEM权限 失败原因:可能由于杀毒软件的存在 替代方案 : 使用 getSystem工具 将管理员权限提升为系统权限 3. 内网信息收集 3.1 主机发现 使用ARP扫描发现一批内网主机 通过nmap挂代理扫描,但未获得有价值信息 3.2 键盘记录 使用 keyscan_start 启动键盘记录 经过一晚上捕获,获得: 三个IP地址 若干用户名/密码信息 4. 内网横向移动 4.1 Web系统测试 代理设置 : 使用Proxifier工具配置代理 代理服务器:Kali IP,端口1080 配置规则使Firefox和Burp流量走代理 Web应用测试 : 访问192.168.2.4发现可访问的Web系统 发现明文传输的登录凭据 存在用户名枚举漏洞 使用键盘记录获得的信息(xxxei:xxxxxge)成功登录 漏洞利用 : 在"系统设置-用户管理-编辑"功能中发现文件上传漏洞 上传PHPinfo测试文件确认漏洞存在 上传一句话木马,使用蚁剑连接(配置代理) 获取Webshell后发现域环境(lxxx.com) 4.2 权限提升 使用getSystem工具成功获取管理员权限 5. 域渗透阶段 5.1 域环境分析 DNS服务器:192.168.3.4(推测为域控) 域名:LxxX 域成员数量:3个 5.2 凭据获取 Meterpreter迁移 : 使用kiwi模块获取哈希时遇到32位进程限制 将meterpreter会话迁移到32位进程 凭据提取 : 使用 creds_all 列举系统明文密码(未获取到) 使用 kiwi_cmd sekurlsa::logonpasswords 获取哈希 成功获取域控账号密码(曾登录过当前机器) 5.3 当前资产信息 192.168.1.2:办公机,普通权限,socket4代理 192.168.2.4:web主机,系统权限,有账户密码,socket4代理 192.168.3.4:域控,有账户密码 5.4 域控访问 准备工作 : 关闭目标主机防火墙: netsh advfirewall set allprofiles state off 开启RDP: REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 远程访问 : 通过RDP登录192.168.2.4的服务器 使用psexec从web主机弹回域控的system权限shell 6. 获取FTP权限 6.1 发现新资产 发现名为"yw"的主机(推测为运维机),IP为192.168.3.2 6.2 Xshell会话密码解密 准备工作 : 查询用户SID(解密需要) 解密工具 : 使用 SharpDecryptPwd 解密Xshell保存的密码 获得FTP密码:"test" 登录FTP :使用解密获得的凭据成功登录目标FTP服务器 7. 技术总结 初始入侵 : 通过邮件钓鱼获取初始入口 利用用户所在管理员组的特性尝试权限提升 信息收集 : 键盘记录获取域内IP和业务密码 通过ARP和nmap扫描发现内网资产 横向移动 : 渗透web业务获取域内用户权限 利用文件上传漏洞获取Webshell 域渗透 : 使用kiwi模块抓取域密码 利用获取的凭据登录域控 目标达成 : 通过域控访问运维机器 解密Xshell保存的FTP密码 最终成功登录目标FTP服务器 8. 关键工具和技术 工具列表 : Meterpreter getSystem (权限提升) Proxifier (代理管理) Burp Suite (Web测试) 蚁剑(Webshell管理) kiwi模块(凭据提取) SharpDecryptPwd (密码解密) 关键技术 : 钓鱼攻击 BypassUAC ARP扫描 键盘记录 Web应用测试(用户名枚举、文件上传漏洞) 域渗透技术 密码解密技术 9. 防御建议 钓鱼防护 : 加强员工安全意识培训 部署邮件过滤系统 权限管理 : 遵循最小权限原则 定期审计管理员组成员 漏洞防护 : 及时修补Web应用漏洞 禁用不必要的文件上传功能 域安全 : 启用LSA保护 限制域管理员登录范围 定期轮换域凭据 日志监控 : 监控异常登录行为 记录和分析安全事件 密码管理 : 禁止在应用程序中保存明文密码 使用专业密码管理工具