域渗透实战技术文档<\/h1>

1. 初始入侵阶段<\/h2>

1.1 JBoss反序列化漏洞利用<\/h3>

通过JBoss反序列化漏洞直接获取Webshell<\/li>

漏洞利用过程未详细描述，但这是常见的初始攻击向量<\/li> <\/ul>

1.2 网络连通性测试<\/h3>

使用Burp Collaborator Client测试出网情况<\/li>
执行命令：nslookup [Burp Collaborator域名]<\/code><\/li>

观察Burp是否有DNS查询回显确认出网能力<\/li>
<\/ul>
2. 权限维持与横向移动<\/h2>
2.1 杀软绕过<\/h3>

关闭杀毒软件（文中提到"7k"杀软）<\/li>
尝试使用Cobalt Strike上线未成功，转而使用RDP连接<\/li>
<\/ul>
2.2 凭证获取技术<\/h3>
2.2.1 传统方法（Windows Server 2012及以下）<\/h4>
procdump.exe -accepteula -ma lsass.exe c:\w<\/span>indows\t<\/span>emp\l<\/span>sass.dmp
<\/span><\/span>sekurlsa::minidump lsass.dmp
<\/span><\/span>sekurlsa::logonpasswords
<\/span><\/span><\/code><\/pre>2.2.2 新系统方法（Windows Server 2016及以上）<\/h4>

方法一：在相同版本系统上使用Mimikatz<\/li>
方法二：使用SqlDumper

路径：c:\Program Files\Microsoft SQL Server\[number]\Shared\SqlDumper.exe<\/code><\/li>
命令：SqlDumper.exe pid 0 0x01100<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
2.3 代理技术<\/h3>

Neo-reGeorg<\/strong>使用：
# 生成隧道文件<\/span>
<\/span><\/span>python3 neoreg.py generate -k 123456<\/span>
<\/span><\/span>
<\/span><\/span># 连接隧道<\/span>
<\/span><\/span>python3 neoreg.py -k 123456<\/span> -u http:\/\/xx.xx.xx.xx:8080\/2.jsp
<\/span><\/span><\/code><\/pre><\/li>
代理工具选择：

初始尝试Proxifier失败<\/li>
改用SocksCap成功建立连接<\/li>
<\/ul>
<\/li>
<\/ol>
3. 域环境渗透<\/h2>
3.1 域信息收集<\/h3>

发现目标机器是工作组账号而非域成员<\/li>
获取的域成员凭证已失效<\/li>
<\/ul>
3.2 密码喷洒攻击<\/h3>

使用本地管理员账号密码进行批量密码喷洒<\/li>
使用Cobalt Strike的批量密码尝试功能<\/li>
成功横向移动到2台机器<\/li>
<\/ul>
3.3 漏洞利用尝试<\/h3>

使用Ladon批量扫描MS17-010漏洞<\/li>
尝试使用Metasploit进行利用但未成功<\/li>
<\/ul>
4. 问题解决与技巧<\/h2>
4.1 RDP连接问题<\/h3>

尝试多种方法：

激活Guest账号并加入管理员组<\/li>
创建新的管理员账号<\/li>
<\/ul>
<\/li>
最终解决方案：

可能是代理配置问题<\/li>
退出代理后使用SocksCap解决<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 注册表修改提示<\/h3>

评论区提到"登录不上去那个问题本地修改一下注册表就好了"<\/li>
具体注册表项未说明，可能是以下之一：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server<\/code><\/li>
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
5. 后续渗透思路<\/h2>


原生Python开发<\/strong>：<\/p>

考虑编写原生Python脚本进行逐台攻击<\/li>
成功后派生会话回Cobalt Strike<\/li>
<\/ul>
<\/li>

Web资产侦察<\/strong>：<\/p>

通过代理检查内部Web资产<\/li>
寻找新的攻击面<\/li>
<\/ul>
<\/li>

持久化准备<\/strong>：<\/p>

保持已获取的访问权限<\/li>
为后续渗透做准备<\/li>
<\/ul>
<\/li>
<\/ol>
6. 工具清单<\/h2>



工具名称<\/th>
用途<\/th>
<\/tr>
<\/thead>


Burp Suite<\/td>
网络连通性测试<\/td>
<\/tr>

Cobalt Strike<\/td>
C2框架<\/td>
<\/tr>

Procdump<\/td>
内存转储<\/td>
<\/tr>

Mimikatz<\/td>
凭证提取<\/td>
<\/tr>

SqlDumper<\/td>
新系统凭证提取<\/td>
<\/tr>

Neo-reGeorg<\/td>
HTTP隧道<\/td>
<\/tr>

Proxifier\/SocksCap<\/td>
代理管理<\/td>
<\/tr>

Ladon<\/td>
漏洞扫描<\/td>
<\/tr>

Metasploit<\/td>
漏洞利用<\/td>
<\/tr>
<\/tbody>
<\/table>
7. 防御建议<\/h2>

及时修补JBoss反序列化漏洞<\/li>
限制出网DNS查询<\/li>
监控lsass.exe内存转储行为<\/li>
限制RDP访问并启用网络级别认证<\/li>
实施严格的密码策略防止密码喷洒<\/li>
及时修补MS17-010等已知漏洞<\/li>
监控异常代理流量<\/li>
<\/ol>

工具名称<\/th>	用途<\/th> <\/tr> <\/thead>
Burp Suite<\/td>	网络连通性测试<\/td> <\/tr>
Cobalt Strike<\/td>	C2框架<\/td> <\/tr>
Procdump<\/td>	内存转储<\/td> <\/tr>
Mimikatz<\/td>	凭证提取<\/td> <\/tr>
SqlDumper<\/td>	新系统凭证提取<\/td> <\/tr>
Neo-reGeorg<\/td>	HTTP隧道<\/td> <\/tr>
Proxifier\/SocksCap<\/td>	代理管理<\/td> <\/tr>
Ladon<\/td>	漏洞扫描<\/td> <\/tr>
Metasploit<\/td>	漏洞利用<\/td> <\/tr> <\/tbody> <\/table> 7. 防御建议<\/h2> 及时修补JBoss反序列化漏洞<\/li> 限制出网DNS查询<\/li> 监控lsass.exe内存转储行为<\/li> 限制RDP访问并启用网络级别认证<\/li> 实施严格的密码策略防止密码喷洒<\/li> 及时修补MS17-010等已知漏洞<\/li> 监控异常代理流量<\/li> <\/ol>