HACKONE的博客

内网域控权限提升技术总结 本文介绍了4种常见的Windows AD域控提权漏洞及利用方法： CVE-2014-6324(MS14-068)：通过伪造Kerberos票证获取域管理员权限 CVE-2021-42287：利用机器账户命名漏洞提升权限 CVE-2020-1472(ZeroLogon)：通过Netlogon协议漏洞重置域控密码 CVE-2022-26923：利用Active Directory证书服务漏洞提权 实战中需满足相应条件，如获取域用户凭证、主机权限或证书服务访问权限。通过漏洞利用工具可快速

本文介绍了红队内网攻防渗透的基础知识，重点分析了内网域环境的架构与搭建方法。文章首先对比了工作组和域的区别，指出域具有安全边界和集中管理的优势。接着详细讲解了域的分类：单域、父子域、域树和域森林，并附图解说明各类架构特点。针对单域和父子域环境，文章提供了具体的搭建流程，包括域控制器配置、DNS设置及成员主机加入域的操作步骤。实验部分展示了Windows Server 2016域控、Windows 2008服务器及Win10/7客户端的配置过程。该内容为内网渗透的信息收集、代理隧道、横向移动等后续技术奠定了基

但是再上传之前还要考虑shell的正反向问题，有没有防火墙就是关键，我们ping一下2.11，发现ping不通，不用想肯定是开了，那只能反向shell建立连接。将生成的2.jsp文件放进2文件夹，然后右键生成压缩包2.zip，再修改压缩包后缀为war，这样2.war木马包就制作出来了。打开后发现存在SQLserver数据库密码，这样就可以尝试连接2.11的数据库，因为可能密码都是一样的。我们打开目标的火绒发现火绒拦截了我们的shell，因为它开启了防止横向的功能。

上面已经抓取到了密码，但是我们通过拓扑分析看，要想上线win10只能通过正向shell，因为win7的防火墙是开的，win10反向主动连接肯定入站规则拦截，而win10自己没有开防火墙，所以win7主动正向连接就可以上线。win7开启了防火墙，入站规则肯定是会拦截我们的请求的，所以我们需要反向上线，让win7主动来连接我们。这里扫描发现是存在ms17010漏洞的，但是想上线192.168.2.142的话，我们没有路由是上线不了的，这里有两种办法：一种msf直接生成后门，另一种cs移植后门到msf。

蓝宝石票据与钻石票据类似，票据不是伪造的，而是通过请求后获得的合法票据。在蓝宝石票据中，高权限用户PAC是通过S4U2Self+U2U获得的，然后该PAC会替换原来的PAC，由于该票据是完全合法元素组合起来的，所以是最难检测的票据。白银票据是伪造的 Kerberos Ticket Grant Service （TGS） 票证，银票仅允许攻击者伪造特定服务的票证授予服务 （TGS） 票据。白银票据所需的利用条件和黄金票据是相同的，只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)

NTLM Relay其实严格意义上并不能叫NTLM Relay，而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步，在 Type3 Response消息中存在Net-NTLM Hash，当攻击者获得了Net-NTLM Hash后，可以进行中间人攻击，重放Net-NTLM Hash，这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。2、利用Net-NTLM Hash中继攻击（Net NTLM Hash相同）#横向移动-NTLM中继-暴力破解&Relay攻击。

当Windows系统的Active Directory证书服务（CS）在域上运行时，由于机器账号中的dNSHostName属性不具有唯一性，域中普通用户可以将其更改为高权限的域控机器账号属性，然后从Active Directory证书服务中获取域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。set payload windows/x64/meterpreter/bind_tcp //正向连接上线。run post/multi/manage/autoroute //添加当前路由表。

机器A（域控）访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，一起发送给机器B，机器B会把TGT存储在lsass进程中以备下次重用。简而言之，非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式，是指将域内用户账户的权限委派给服务账号，服务账号因此能以用户的身份在域内展开活动（请求新的服务等），类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限，可以诱导域管来访问该机器，然后得到管理员的TGT，从而模拟域管用户。

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。

请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5，这意味着服务帐户的NTLM密码哈希用于加密服务票证。生成票据文件：shell ms14-068.exe -u webadmin@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d 192.168.3.21 -p admin!PTH(pass the hash) #利用的lm或ntlm的值进行的渗透测试（NTLM认证攻击）

如果端口开了，先使用ping 能ping通说明防火墙可能是关的，正向和反向都可以 如果是ping不通就是开的， 开的就要看winrm开没开。下载对应release，建立socks连接，设置socks代理，配置规则，调用！是一款可以不借助远程桌面GUI的情况下，通过RDP协议进行命令执行的程序。不加 --local-auth执行都是失败的 会访问域并且执行名利。主要参数：-u用户，-p密码，-H哈希值，-d指定域，-x执行命令。主要功能：多协议探针，字典设置，本地及域喷射，命令回显执行等。

因此在内网渗透中，我们可以使用WMI进行横向移动，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。SMB服务通常由文件服务器提供，它允许客户端计算机通过网络访问服务器上的共享资源。通过SMB用户可以在网络上访问和共享文件夹、文件以及打印机，从而实现在不同计算机之间方便地共享数据和打印输出。它支持不同的两台机器上的组件间的通信，不论它们是运行在局域网、广域网、还是Internet上。这里ping 3.32 是能ping通的 所以防火墙入站规则是关闭的，可以执行正向shell。

IPC$(Internet Process Connection)是共享"命名管道"的资源，它是一个用于进程间通信的开放式命名管道，通过提供一个可信的用户名和密码，连接双方可以建立一个安全通道并通过这个通道交换加密数据，从而实现对远程计算机的访问。可以看到在administrator权限下是不能执行收集用户的命令的，这里可以使用kerbrute来代替进行枚举，这是在域外没有提权成功，也没有切换用户，但是还想知道域用户信息就使用这种方法。这里使用域内主机的管理员权限获取内网存在的 其他主机的信息。

如果域内扫描工具代理到本地就需要绑定host去扫描，不然走dns解析的解析不到这个内网的域控god.org。searchall64.exe browser -b 指定的浏览器或者all。searchall64.exe search -p 指定路径。个人用机的角色web服务 数据库服务器角色。2、自己创建文件记录。3、某些工具自动存储。

例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器，但不可能接触到存放在内网中的信息，就算黑客入侵DMZ 中服务器，也不会影响到公司内部网络安全，不允许任何外部网络的直接访问，实现内外网分离，在企业的信息安全防护加了一道屏障。扩大范围，利用域管理员可以登陆域中任何成员主机特性，定位出域管理员登陆过的主机IP，设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器、渗透整个内网。IP、网关、DNS、出网判断、本机网络连接以及开放端口、本机的代理，域名是什么等。

目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，DNS解析等），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。Frp是专注于内网穿透的高性能的反向代理应用，支持TCP、UDP、HTTP、HTTPS等多种协议。服务端-下载-解压-修改-启动（阿里云主机记得修改安全组配置出入口）建立客户端连接服务端后将141上5555给到服务端6666上。服务端启动：frps -c frps.ini。

这里是将端口映射到了本地端口，也就是开启冰蝎的这台机器，直接访问本地的2222端口就能访问2.22的80。如：模拟Windows为被控机，配置防火墙策略：SSH 22端口放行。内网主机防火墙限制了出网协议，可以利用SSH转发流量实现内网穿透。太多时候遇到目标不出网了，TCP、ICMP、DNS协议均不通，将2.22上80端口流量转发到xx.xx上的1234端口。注：由于CS无SSH协议监听器配置，无法上线。目前版本只支持反向的https和正向的tcp。如：模拟Linux为被控机，配置防火墙策略。

ICMP 通过 PING 命令访问远程计算机，建立 ICMP 隧道，将 TCP/UDP 数据封装到 ICMP 的 PING 数据包中，从而穿过防火墙，防火墙一般不会屏蔽 PING 数据包，实现不受限制的访问。添加新的A记录 这里按照C2重新新建一个主机记录将C2.xiaodi8.com指向我们的CS服务器地址。现在成功上线了web，但是要使用web服务器访问2.22的网站访问不了，出站是允许icmp。利用各种隧道技术，以网络防火墙允许的协议，绕过网络防火墙的封锁，实现访问被封锁的目标网络。

1、防火墙默认入站&出站策略2、防火墙自定义入站&出站策略操作：组策略管理-域-创建GPO链接-防火墙设置更新策略：强制 & 命令 & 重启命令：gpupdate / force。

攻击机使用socks5代理和web靶机通信，web靶机和二层主机使用4444端口通信，相当于全通。0、基石框架篇-单域、子域、父域、域树、域森林网络架构和搭建等。加入修改配置： /etc/proxychains4.conf。2、代理隧道篇-代理通讯网络不可达-SockS代理配置。1、代理隧道篇-代理通讯网络不可达-正反向连接上线。C2平台：MSF/CS/Sliver/Viper等。C2平台：MSF/CS/Sliver/Viper等。注意：配置连接IP为C2服务器IP。3、在工具上配置连接属性和规则触发。

原理：Windows程序启动的时候需要DLL。由于管理配置错误，用户可能对服务拥有过多的权限，例如，可以直接修改它导致重定向执行文件。检测：火绒剑 利用火绒剑进行进程分析加载DLL，DLL文件要在软件自身的目录里，这里使用进程查看工具发现了两个自身目录的dll。但是如果路径是有空格的 且没有双引号，程序会认为第一个空格处是程序自身，后面的其他空格代表程序的参数。过程：信息收集-进程调试-制作dll并上传-替换dll-等待启动应用成功。过程：检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功。

Docker是一个开源的容器化平台，它建立在LXC之上，并提供了一套更高级别的工具和API，使得容器的构建、分发和运行变得更加简单。Docker提供了一个容器镜像的集装箱模型，使得容器可以在不同的环境中进行移植和部署。而Docker是基于LXC的容器化平台，提供了一套简化容器构建、分发和运行的工具和API。LXD是基于LXC容器的管理程序，当前用户可操作容器，理解为用户创建一个容器，再用容器挂载宿主机磁盘，LXD、LXC 和 Docker 是三种不同的容器化技术，它们在实现和使用上有一些区别。

LD_PRELOAD是linux系统的一个环境变量，它可以影响程序的运行时的链接，它允许你定义在程序运行前优先加载的动态链接库，所谓的动态链接库其实就是DLL文件。sudo提权如果是已知程序比如find python 这些可利用网站给的语法来执行提权，但是如果是一个不知道的第三方程序呢？如果非要使用sudo提权，就需要逆向二进制这个程序,观察这个程序执行过程中有没有利用的程序比如find 进程 sudo，#确认mysql安装位置。

端口转发就是将一个端口，这个端口可以本机的端口也可以是本机可以访问到的任 意主机的端口，转发到任意一台可以访问到的IP上，通常这个IP是公网IP。1. 服务器处于内网，可以访问外部网络。2. 服务器处于外网，可以访问外部网络，但是服务器安装了防火墙来拒绝敏感端口 的连接。3. 服务器处于内网，对外只开放了80端口，并且服务器不能访问外网网络。映射端口，就是将一个内网端口映射到公网上的某个端口，假设我自己的电脑是在 内网中，没有公网IP，但是我想提供一个端口供其他人使用，这就是端口映射。

SYSVOL是活动目录里面的一个用于存储域公共文件服务器副本的共享文件夹，在域中的所有域控制器之间进行复制。SYSVOL文件夹是安装活动目录时自动创建的，主要用来存放登录脚本、组策略数据及其他域控制器需要的域信息等。SYSVOL在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录的域范围内共享。在一般的域环境中，所有机器都是脚本化批量部署的，数据量通常很大。为了方便地对所有的机器进行操作，网络管理员往往会使用域策略进行统一的配置和管理。

NFS是一种基于TCP/IP 传输的网络文件系统协议，通过使用NFS协议，客户机可以像访问本地目录一样访问远程服务器中的共享资源。通过对计划任务中的文件的权限查看，发现具有读写执行的权限，编写计划任务覆盖源文件的内容用来反弹shell。通过扫描发现还开放了8080端口，这里缺少登陆密码，前面的加密的access.html就有这里的密码。ls -lia /etc/script/CleaningScript.sh #查看对任务文件的权限。cd /mnt/nfs # 目标机。

SUDO权限是root把本来只能超级用户执行的命令赋予普通用户执行，系统管理员集中的管理用户使用权限和使用主机，配置文件：/etc/sudoers，除此配置之外的问题，SUDO还有两个CVE漏洞（CVE-2019-14287 CVE-2021-3156）。git源码泄露 => 找到数据库密码，登入 => 找到cms后台用户密码，改为已知密码 => 登入cms后台，写shell（低权限）2、suid、sudo、nfs、path、ld_preload、cron、lxd、capability、rbash等。

Exploit运行的过程中，它会在/tmp目录下创建一个SUID文件,用来提升权限。如图所示，已提升至root权限。缺少fuse.h，是缺少libfuse-dev依赖库导致，通过apt包管理器安装相应的库。获取到Web权限在Linux服务器上时进行的内核漏洞提权。这里卡死了执行探测脚本，所以需要反弹到msf或者cs。漏洞的使用是有优先级的，黄色的是最优先可以使用的。扫描发现-抓包分析-文件写入-反弹MSF。

这里如果把shell注入到system的进程中就是system权限，但是中途如果要迁移shell到别的进程，需要看用户名权限，如果system迁移到administrator就是降权，如果administrator迁移到system就是提权。获取的权限是administrator，然后用一下所讲的技术进行提权和降权，如果是users的权限，以下技术是用不到的。这里是降权，选择权限是amdinistrator的权限进行注入，就会产生新的admin的权限shell回来。服务启动后上线的是system权限。

将这三个文件放在同一个目录下，并在当前目录执行python cve-2023-38831-exp-gen.py test.png script.bat poc.rar获得验证文件qq.rar。通过查询里面的配置信息来进行其他漏洞利用，这个本身是没有利用漏洞，比如获取里面其他数据库配置信息登录提权。3、计算机用户或WEB权限：Winrar(CVE-2023-38831)下载cve的poc，使用cs制作cs木马，并放进去一个pdf作为载体。Oracle：（站库分离，非JSP，直接数据库到系统等）

红队内网攻防渗透1. 内网权限提升技术1.1 windows内网权限提升技术--手工篇1. 内网权限提升技术1.1 windows内网权限提升技术–手工篇

虚拟化：Docker，ESXi，QEMU，Hyper-V等。jsp由于机制的原因不需要提权，一般拿到的权限就是最高权限。目前的msf版本有bug可以TB上购买pro版本嘎嘎稳。集成软件：宝塔，PhpStudy，XAMMP等。ASP/ASP.NET/PHP/JSP等。全自动：快速识别系统中可能被利用的漏洞。自行搭建：自己一个个下载安装搭建配置。集成软件，自行搭建，虚拟化等。执行不了命令，所以需要提权。

当我们通过弱口令进入到应用后台管理当我们下载备份文件获取到数据库信息当我们通过漏洞拿到资产系统的Web权限当我们在公司被给予账号密码登录计算机或系统当我们在公司或钓鱼后门获取到某个公司机器系统。

此参数是可选的。它对于 ONCE、ONSTART、ONLOGON 或 ONIDLE 计划无效。默认情 况下，计划没有结束日期。

Telnet协议是tcp/ip协议的一员是Internet远程登陆服务的标准协议和主要方式，快速探测某台主机是否存在某个高危漏洞端口可以使用这个在内网中通常会部署大量的网络安全设备例如IDSIPS日志审计安全网关反病毒等在域网络攻击测试中获取域内一个支点后需要获得域管理员权限在一个域中，当计算机加入域后会默认给域管理员组赋予本地系统管理员权限也就是说当计算机被添加到域中成为域主机系统就会自动将域管理员组添加到本地系统管理员组中因此域管理组的成员均可以访问本地计算机且具备完全的控制权。

红队内网攻防渗透内网渗透常用命令集合内网渗透常用命令集合

红队内网攻防渗透免杀思路方法和技巧讲解免杀思路方法和技巧讲解

红队内网攻防渗透Kerberos协议全讲解Kerberos协议全讲解

红队内网攻防渗透内网各种工具平台的使用内网各种工具平台的使用

红队内网攻防渗透域内攻击利用方式和技巧域内攻击利用方式和技巧