域渗透实战技术文档

1. 初始入侵阶段

1.1 JBoss反序列化漏洞利用

通过JBoss反序列化漏洞直接获取Webshell
漏洞利用过程未详细描述，但这是常见的初始攻击向量

1.2 网络连通性测试

使用Burp Collaborator Client测试出网情况
执行命令：nslookup [Burp Collaborator域名]
观察Burp是否有DNS查询回显确认出网能力

2. 权限维持与横向移动

2.1 杀软绕过

关闭杀毒软件（文中提到"7k"杀软）
尝试使用Cobalt Strike上线未成功，转而使用RDP连接

2.2 凭证获取技术

2.2.1 传统方法（Windows Server 2012及以下）

procdump.exe -accepteula -ma lsass.exe c:\windows\temp\lsass.dmp
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

2.2.2 新系统方法（Windows Server 2016及以上）

方法一：在相同版本系统上使用Mimikatz
方法二：使用SqlDumper
- 路径：c:\Program Files\Microsoft SQL Server\[number]\Shared\SqlDumper.exe
- 命令：SqlDumper.exe pid 0 0x01100

2.3 代理技术

Neo-reGeorg使用：

# 生成隧道文件
python3 neoreg.py generate -k 123456

# 连接隧道
python3 neoreg.py -k 123456 -u http://xx.xx.xx.xx:8080/2.jsp

代理工具选择：
- 初始尝试Proxifier失败
- 改用SocksCap成功建立连接

3. 域环境渗透

3.1 域信息收集

发现目标机器是工作组账号而非域成员
获取的域成员凭证已失效

3.2 密码喷洒攻击

使用本地管理员账号密码进行批量密码喷洒
使用Cobalt Strike的批量密码尝试功能
成功横向移动到2台机器

3.3 漏洞利用尝试

使用Ladon批量扫描MS17-010漏洞
尝试使用Metasploit进行利用但未成功

4. 问题解决与技巧

4.1 RDP连接问题

尝试多种方法：
- 激活Guest账号并加入管理员组
- 创建新的管理员账号
最终解决方案：
- 可能是代理配置问题
- 退出代理后使用SocksCap解决

4.2 注册表修改提示

评论区提到"登录不上去那个问题本地修改一下注册表就好了"
具体注册表项未说明，可能是以下之一：
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

5. 后续渗透思路

原生Python开发：
- 考虑编写原生Python脚本进行逐台攻击
- 成功后派生会话回Cobalt Strike
Web资产侦察：
- 通过代理检查内部Web资产
- 寻找新的攻击面
持久化准备：
- 保持已获取的访问权限
- 为后续渗透做准备

6. 工具清单

工具名称	用途
Burp Suite	网络连通性测试
Cobalt Strike	C2框架
Procdump	内存转储
Mimikatz	凭证提取
SqlDumper	新系统凭证提取
Neo-reGeorg	HTTP隧道
Proxifier/SocksCap	代理管理
Ladon	漏洞扫描
Metasploit	漏洞利用

7. 防御建议

及时修补JBoss反序列化漏洞
限制出网DNS查询
监控lsass.exe内存转储行为
限制RDP访问并启用网络级别认证
实施严格的密码策略防止密码喷洒
及时修补MS17-010等已知漏洞
监控异常代理流量

域渗透实战技术文档 1. 初始入侵阶段 1.1 JBoss反序列化漏洞利用通过JBoss反序列化漏洞直接获取Webshell 漏洞利用过程未详细描述，但这是常见的初始攻击向量 1.2 网络连通性测试使用Burp Collaborator Client测试出网情况执行命令： nslookup [Burp Collaborator域名] 观察Burp是否有DNS查询回显确认出网能力 2. 权限维持与横向移动 2.1 杀软绕过关闭杀毒软件（文中提到"7k"杀软）尝试使用Cobalt Strike上线未成功，转而使用RDP连接 2.2 凭证获取技术 2.2.1 传统方法（Windows Server 2012及以下） 2.2.2 新系统方法（Windows Server 2016及以上）方法一：在相同版本系统上使用Mimikatz 方法二：使用SqlDumper 路径： c:\Program Files\Microsoft SQL Server\[number]\Shared\SqlDumper.exe 命令： SqlDumper.exe pid 0 0x01100 2.3 代理技术 Neo-reGeorg 使用：代理工具选择：初始尝试Proxifier失败改用SocksCap成功建立连接 3. 域环境渗透 3.1 域信息收集发现目标机器是工作组账号而非域成员获取的域成员凭证已失效 3.2 密码喷洒攻击使用本地管理员账号密码进行批量密码喷洒使用Cobalt Strike的批量密码尝试功能成功横向移动到2台机器 3.3 漏洞利用尝试使用Ladon批量扫描MS17-010漏洞尝试使用Metasploit进行利用但未成功 4. 问题解决与技巧 4.1 RDP连接问题尝试多种方法：激活Guest账号并加入管理员组创建新的管理员账号最终解决方案：可能是代理配置问题退出代理后使用SocksCap解决 4.2 注册表修改提示评论区提到"登录不上去那个问题本地修改一下注册表就好了" 具体注册表项未说明，可能是以下之一： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services 5. 后续渗透思路原生Python开发：考虑编写原生Python脚本进行逐台攻击成功后派生会话回Cobalt Strike Web资产侦察：通过代理检查内部Web资产寻找新的攻击面持久化准备：保持已获取的访问权限为后续渗透做准备 6. 工具清单 | 工具名称 | 用途 | |---------|------| | Burp Suite | 网络连通性测试 | | Cobalt Strike | C2框架 | | Procdump | 内存转储 | | Mimikatz | 凭证提取 | | SqlDumper | 新系统凭证提取 | | Neo-reGeorg | HTTP隧道 | | Proxifier/SocksCap | 代理管理 | | Ladon | 漏洞扫描 | | Metasploit | 漏洞利用 | 7. 防御建议及时修补JBoss反序列化漏洞限制出网DNS查询监控lsass.exe内存转储行为限制RDP访问并启用网络级别认证实施严格的密码策略防止密码喷洒及时修补MS17-010等已知漏洞监控异常代理流量