红蓝对抗-域内渗透思路

0x01 攻击路线确定思路

在红队评估开始之时，我们要对我们的行动制定良好的计划，而不是扫描器、exp各种怼。要进入内网，我们必不可免的要撕口子，常见的撕口子方法无外乎web、vpn、以及内部员工的PC。例如我们从外围拿到一台web服务器的权限，那么我们就要考虑这台机器是否在域内，在域内我们可以直接打域控。如果在域外，我们就需要去寻找哪台机器在域内，然后去拿下这台机器，通向域控。同时我们还可以通过登陆日志等信息来确定运维人员的机器并尝试拿下他们的机器，运维人员的机器上通常会有很多我们需要的信息，可以减少很多不必要的麻烦。

在我们拿下第一台机器的权限的时候，这个时候就需要尽快以最小的动静拿下另外一台或多台出网的机器作为我们的跳板进行内网探测等操作，这样的好处是在被蓝队发现并把我们踢出内网以后，不至于得重新去寻找入口点。

然后就是经典的哲学问题：我是谁？我在哪？我要去哪？把这个问题转换成我们的思路就是我们控的这台机器是什么机器，OA还是DB。我目前的位置在哪？DMZ还是办公区？我要去哪里？具体的部门还是哪台机器。例如我们的目标是办公区某办公人员的PC，那么我们可以怎么去思考我们的攻击链？办公人员会访问OA、内部文件共享、禅道等服务，我们通过在DMZ中寻找这些并拿下相应权限，我们就可以获得更多对我们有用的信息来支持我们的后续操作。

当我们在DMZ中并不能获得我们想要的，我们就需要走出DMZ，去我们想去的地方。这个时候就迫切需要拿到一台多网卡的机器，在去定位这台多网卡机器的时候，我们最低成本的做法就是通过Scan_Oxid协议去寻找。在走出DMZ以后，我们通过之前收集到信息，可以去尝试枚举连接LDAP以及尝试获取域内的一些用户权限。持续进行信息收集，比如通过SPN信息和所获取的域内普通用户通过LDAP获取域内信息，然后通过收集到的信息和一些手法拿下域控。

在登陆RDP的时候，我们要尽量寻找长期没有登陆过的用户去登陆RDP，读者可以这样去理解这个操作：当你用administrator用户登陆了RDP，进行了很多操作，然后蓝队突然登陆了这台机器，你的所有操作尽观眼底，然后蓝队检测、清理、game over。

0x02 漏洞利用思路

域内常见的漏洞：CVE-2022-26923、CVE-2021-24527、CVE-2021-442287、CVE-2020-1472、MS14-068等等。笔者这里对于漏洞利用不做表述，读者可以自行研究。

在利用这些漏洞的时候，我们要考虑清楚一个问题，我们已经控到的这台机器是否在域内。比如我们控到了DMZ区的一台Linux，这台Linux可以访问到DC，那么我们就可以通过CVE-2020-1472去攻击域控置空密码(当然在利用这个漏洞的时候置空密码以后要尽快还原密码，不然可能会导致一些机器的脱域)。当我们控到的机器在域内时，我们就可以直接使用CVE-2021-34527等漏洞去攻击域控。

0x03 常见渗透手法

在非约束委派的情况下，利用非约束委派+spooler打印机服务可以强制指定的主机进行连接。在约束委派的情况下，服务用户只能获取某个用户（或主机）的服务st，所以只能模拟用户访问特定的服务，是无法获取用户的TGT，如果我们能获取到开启了约束委派的服务用户明文密码或者NTLM Hash，我们就可以伪造S4U请求，进而伪装成服务用户以任意账户的权限申请访问某服务的ST。

我们常见的组策略利用与横向移动手法。例如：PTH、PTT票据、组策略下发木马、GPP密码泄露、Kerberos协议密码喷射等，这里不多做赘述。

然后就是老生常谈的金票与银票。金票伪造TGT，由krbtgt NTLM Hash加密，同KDC交互，但不同AS交互。银票伪造 ST，只能访问指定的服务，如CIFS服务，由服务账号NTLM Hash加密，不同KDC交互，直接访问Server。在我们需要尽量减少日志的情况下我们优先选择银票，因为金票会与KDC进行交互，会产生大量的日志，而银票不与KDC交互，直接与Server交互，只会在Server上产生日志，我们只需要清理Server的日志即可。

0x04 权限维持

Skeleton Key方法。使用mimikatz注入Sekilton Key，所有域用户都可以使用万能密码mimikatz来进行登陆，缺点是不能更改用户权限，且重启将失效

票据方法。上面提到的金票与银票。

DSRM域后门方法。每个域控都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控的本地管理员用户，通过网络连接域控制器，进而控制域控。

赋予域内普通用户dcsync权限。这样我们就可以随时利用dcsync直接远程dump域内hash。

常见的Windows维持权限方法。计划任务、服务后门、更改操作系统配置、DLL劫持、Winlogon等方法。

0x05 小结

这篇文章通过攻击路线确定思路、漏洞利用、渗透手法、权限维持等方面介绍了通向域控的思路，而对于具体的漏洞利用、方法实现因为篇幅原因没有作过多的赘述。内容存在诸多不足之处，读者对于文章中疑惑、需要改进的地方可以联系邮箱与我沟通！

0x06 应龙安全-红蓝对抗

看到这里的新人师傅OR老手师傅如果也想在此方向有所研究和收获 

红队攻防知识 -CTF竞赛知识 -优质工具研发 

免杀Bypass研究 -安全文献资料 -研究心得文章 

破解软件研究 -APT打法思路 -其他安全赛道 

接着之前的内部分享马上会更新免杀rc4的第二种方式以及aes

并且会有星球内部的免杀工具，目前师傅已经在二开星球专版CS了

应龙安全：丁真CS4.5版本 

目前仅需120RMB一年

后期人数不断增加费用也会不断增加，有兴趣可以了解