Mirzakerenn/pentest-home-lab

# 🔐 渗透测试 — Windows 10 家庭实验室 ## 📋 概述 | 项目 | 详情 | |------|--------| | **目标操作系统** | Windows 10 Build 19041 x64 (20H1) | | **攻击者操作系统** | Kali Linux (VM) | | **网络** | 隔离的家庭实验室 (192.168.2.x) | | **范围** | 阶段 2 – 漏洞分析，阶段 3 – 漏洞利用 | | **日期** | 2026年6月 | ## 🗺️ 攻击流程 ``` [Kali Linux VM] │ ├── Phase 2: Reconnaissance & Vulnerability Analysis │ ├── SMB Fingerprinting (NetExec) │ ├── Full Port Scan (Nmap) │ └── Service Enumeration │ └── Phase 3: Exploitation ├── NTLM Relay Attempt (ntlmrelayx) ├── LLMNR/NBT-NS Poisoning (Responder) ✅ Hash captured └── Hash Cracking (Hashcat mode 5600) ``` ## 🔍 阶段 2 — 漏洞分析 ### SMB 指纹识别 (NetExec) ``` nxc smb 192.168.2.3 ``` **结果：** ``` SMB 192.168.2.3 445 DESKTOP-L6O8QDM [*] Windows 10 / Server 2019 Build 19041 x64 (name:DESKTOP-L6O8QDM) (domain:DESKTOP-L6O8QDM) (signing:False) (SMBv1:False) ``` | 发现 | 值 | 影响 | |---------|-------|--------| | 操作系统 | Windows 10 Build 19041 x64 | 确认目标 | | SMB Signing | **False** | ⚠️ NTLM Relay 攻击向量开启 | | SMBv1 | False (已禁用) | ✅ EternalBlue 不适用 | ### 全端口扫描 (Nmap) ``` nmap -sV -p- --min-rate 1000 192.168.2.3 ``` | 端口 | 服务 | 备注 | |------|---------|-------| | 135/tcp | MS-RPC | Endpoint mapper | | 139/tcp | NetBIOS-SSN | NetBIOS 会话 | | 445/tcp | SMB | 主要攻击面 | | 5357/tcp | HTTP (UPnP) | Microsoft HTTPAPI 2.0 | | 49664–63412 | MS-RPC (Ephemeral) | 正常的 Windows 行为 | | 3389/tcp | **已关闭** | ✅ RDP 未激活 | ### 风险总结 — 阶段 2 | # | 发现 | 严重性 | 状态 | |---|---------|----------|--------| | 1 | SMB Signing 已禁用 | 🔴 高危 | 可利用 | | 2 | SMB 端口开放 (445, 139) | 🟡 中危 | 访问受限 | | 3 | 主机名通过 NetBIOS 暴露 | 🟢 低危 | 已确认 | | 4 | SMBv1 已禁用 | — | ✅ 正向 | | 5 | RDP (3389) 已关闭 | — | ✅ 正向 | ## 💥 阶段 3 — 漏洞利用 ### 3.1 NTLM Relay 攻击 ``` impacket-ntlmrelayx -t 192.168.2.3 -smb2support ``` **结果：** 被阻止 — Windows 现代系统拒绝自转发（环回保护已激活）。这一发现证实了需要使用 poisoning 技术作为替代向量。 ### 3.2 LLMNR / NBT-NS Poisoning ✅ ``` sudo responder -I eth1 -dPv ``` Responder 在本地网络中污染了名称解析。当目标尝试访问 `\\portofoliomirza` 时，NTLM 身份验证凭据被发送到了 Responder。 **捕获的 hash：** | 用户名 | 域 | 状态 | |----------|--------|--------| | `lenovo` | DESKTOP-L6O8QDM | ✅ 已捕获 NetNTLMv2 hash | | `mirzaaaa` | DESKTOP-L6O8QDM | ✅ 已捕获 NetNTLMv2 hash | ### 3.3 Hash 破解 (Hashcat) ``` # 字典攻击 hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt # Brute-force mask attack hashcat -m 5600 hash.txt -a 3 ?a?a?a?a?a?a --increment ``` | 方法 | 覆盖范围 | 速度 | 结果 | |--------|----------|-------|--------| | 字典 (rockyou.txt) | 1430 万个密码 | ~256 kH/s | 未找到 | | 暴力破解 1–4 字符 | 100% 耗尽 | 仅限 CPU | 未找到 | | 暴力破解 5 字符 | 部分 (受限于 CPU) | ~256 kH/s | 已停止 — 预计时间 >10 小时 | **分析：** 密码不在 rockyou.txt 中，并且确认长度超过 4 个字符。下一步：GPU 加速破解或自定义 wordlist。 ## 🛡️ 缓解措施 | 漏洞 | 建议 | |-----------|-------------| | SMB Signing 已禁用 | 通过 GPO 启用：*Microsoft network server: Digitally sign communications (always)* | | LLMNR 已启用 | 通过 GPO 禁用：*Turn off multicast name resolution* | | NBT-NS 已启用 | 在网络适配器中禁用 → 高级 TCP/IP → NetBIOS: 禁用 | | 密码策略薄弱 | 使用长度 >12 个字符且具有高复杂性的密码 | ## 🧰 使用的工具 | 工具 | 版本 | 用途 | |------|---------|---------| | Nmap | 7.98 | 端口扫描和服务检测 | | NetExec (nxc) | 1.4.0-0kali3 | SMB 指纹识别 | | enum4linux | 0.9.1 | SMB/NetBIOS 枚举 | | impacket-ntlmrelayx | 0.13.0.dev0 | NTLM relay 攻击 | | Responder | 3.1.7.0 | LLMNR/NBT-NS poisoning | | Hashcat | 7.1.2 | NetNTLMv2 hash 破解 | ## 📁 仓库结构 ``` pentest-home-lab/ ├── README.md ← Laporan ini ├── screenshots/ ← Bukti hasil setiap fase ├── nxc_smb.png ├── nmap_fullscan.png ├── responder_hash.png └── hashcat_result.png ``` #👤 作者# Mirza Suria Sahir — 计算机工程，Pamulang 大学 第 4 学期 | 渗透测试 *用于学习的家庭实验室项目 — 计算机工程*

标签：CTI, 安全实验环境, 插件系统