适用场景：内网渗透测试进阶、域环境全流程演练、SMB/RDP/LDAP协议利用、哈希传递（PTH）、永恒之蓝（MS17-010）攻击练习。

核心目标：打造“配置规范、漏洞可控、端口全开、适配实战”的域控靶机，兼顾基础练习与进阶渗透需求，规避工具兼容坑。

前置准备：Windows Server 2008 R2 企业版镜像（带SP1最佳，纯净版亦可）、VMware Workstation（或VirtualBox）、Kali Linux攻击机（更新至最新版）。

第一阶段：虚拟机硬件与系统安装（地基搭建）

1. 虚拟机硬件配置

• 内存：最低2GB，推荐4GB（2008 R2及域控服务对内存消耗高于2003，避免卡顿）。

• 硬盘：50GB（IDE或SCSI格式均可，2008 R2对SCSI支持良好，默认分区即可，建议仅分C盘，简化管理）。

• 网络适配器：必须选择「VMnet1（仅主机模式）」或「自定义虚拟网络」，确保与Kali攻击机处于同一网段（如192.168.10.0/24），禁止使用桥接模式（避免与物理网络冲突）。

• 其他：开启CPU虚拟化功能（VMware中勾选“虚拟化Intel VT-x/EPT或AMD-V/RVI”，为后续可能的嵌套虚拟机或漏洞利用做准备）。

2. 操作系统安装步骤

1. 启动虚拟机，加载2008 R2镜像，选择「安装现在开始」。

2. 选择操作系统版本：「Windows Server 2008 R2 企业版（完全安装）」（避免核心安装，无图形界面不利于渗透配置）。

3. 分区：选择未分配空间，新建分区（默认C盘），格式化后开始安装，等待15-20分钟。

4. 设置管理员密码：建议设置为 Luxiang_83993939（下划线替代@，规避终端解析坑，同时满足密码复杂度：字母+数字+特殊字符，长度≥8位，符合2008默认密码策略）。

5. 登录系统：按「Ctrl+Alt+Del」，输入管理员密码登录，首次登录会自动配置桌面环境。

第二阶段：网络与DNS配置（打通通信链路）

核心目标：固定静态IP，配置DNS指向自身（域控必须依赖DNS服务，此步为域部署关键，错则域控搭建失败）。

1. 配置IP地址：

   1. 右键「网上邻居」→「属性」→ 右键「本地连接」→「属性」。

   2. 双击「Internet协议版本4（TCP/IPv4）」，选择「使用下面的IP地址」。

   3. 填写参数（以192.168.10.0/24网段为例）：

      • IP地址：192.168.10.20（域控IP建议固定在网段前半段，便于区分攻击机）。

      • 子网掩码：255.255.255.0。

      • 默认网关：192.168.10.1（仅主机模式可留空，NAT模式需填写VMnet对应网关，可在VMware虚拟网络编辑器中查看）。

      • 首选DNS服务器：192.168.10.20（必须指向自身IP，域控需作为DNS服务器解析域信息）。

      • 备用DNS服务器：可留空，或填写8.8.8.8（仅作备用，不影响域内解析）。

   4. 点击「确定」保存配置。

2. 验证网络连通性：

   1. 打开CMD命令提示符，输入 ipconfig /all，确认IP、子网掩码、DNS配置生效，且“DNS服务器”显示为自身IP。

   2. Ping Kali攻击机IP（如192.168.10.100），输入 ping 192.168.10.100 -t，确保数据包正常接收（无丢包）；反之在Kali中Ping域控IP，验证双向连通。

第三阶段：提升至域控制器（核心部署）

通过dcpromo命令将普通服务器升级为域控，搭建完整域环境（HACKERPTS域为例，与之前渗透环境保持一致）。

1. 安装AD域服务角色：

   1. 点击「开始」→「服务器管理器」→「角色」→「添加角色」。

   2. 勾选「Active Directory 域服务」，点击「下一步」，按提示完成角色安装（无需额外组件，默认即可），安装后无需重启。

2. 运行dcpromo命令升级域控：

   1. 点击「开始」→「运行」，输入 dcpromo，回车启动域控制器安装向导。

   2. 向导配置步骤：

      • 欢迎页：点击「下一步」，忽略兼容性警告（2008 R2兼容后续渗透工具），继续「下一步」。

      • 选择部署类型：勾选「在新林中新建域」→「下一步」。

      • 设置根域名：输入 hackepts.com（与之前域环境一致，便于记忆和渗透衔接）→「下一步」。

      • NetBIOS域名：默认生成 HACKEPTS（域短名，渗透时账号格式为HACKEPTS\Administrator）→「下一步」。

      • 数据库和日志文件夹：默认路径（C:\Windows\NTDS、C:\Windows\SYSVOL）→「下一步」（无需修改，简化配置）。

      • 共享的系统卷：默认路径→「下一步」（SYSVOL文件夹为域组策略、脚本存储目录，是渗透关键目标）。

      • DNS服务器配置：选择「下一步」（向导会自动安装DNS服务并配置解析，因之前已将DNS指向自身，无需额外操作）。

      • 权限兼容：选择「与Windows 2000服务器兼容的权限」（降低权限限制，便于渗透工具访问，贴近真实内网老环境）→「下一步」。

      • 目录服务还原模式密码：设置为Admin_123456（单独记录，提权、域恢复时可能用到）→「下一步」。

      • 摘要页：确认配置无误后，点击「下一步」，开始域控安装（耗时10-15分钟，期间会自动重启服务器）。

3. 验证域控部署成功：

   1. 服务器重启后，登录界面会显示「HACKEPTS\Administrator」，说明已加入域环境。

   2. 打开「服务器管理器」→「Active Directory 用户和计算机」，能看到hackepts.com域结构（包含Users、Computers等默认容器），即为部署成功。

第四阶段：渗透友好型配置（开放漏洞与端口）

核心：人为开放常见渗透漏洞和服务，模拟真实内网老环境的安全缺陷，便于后续攻击演练（每步标注渗透价值）。

1. 关闭Windows防火墙（避免端口拦截）

• 操作路径：「控制面板」→「Windows防火墙」→ 选择「关闭防火墙」（域网络、专用网络、公用网络均关闭）→「确定」。

• 渗透价值：避免防火墙拦截139、445、3389、389等核心渗透端口，减少环境干扰，专注攻击技巧练习。

• 备选方案（进阶练习）：若想练防火墙绕过，可开启防火墙，仅放行139、445、3389端口，其余端口拦截。

2. 启用Guest账户（练习匿名访问）

• 操作路径：「服务器管理器」→「配置」→「本地用户和组」→「用户」→ 右键「Guest」→「属性」→ 取消勾选「账户已停用」→「确定」。

• 补充配置：右键「Guest」→「设置密码」，设为空密码（或简单密码如123456），便于练习IPC$空连接、SMB匿名枚举。

• 渗透价值：模拟真实环境中弱配置的域控，可练习crackmapexec、rpcclient等工具的匿名访问与信息枚举。

3. 开启RDP远程桌面服务（3389端口）

• 操作路径：右键「计算机」→「属性」→「远程设置」→ 在「远程桌面」栏选择「允许运行任意版本远程桌面的计算机连接」→ 取消勾选「仅允许运行使用网络级别身份验证的远程桌面的计算机连接」（NLA兼容差，关闭后适配Kali的rdesktop、Windows的mstsc）→「确定」。

• 验证：CMD输入 netstat -ano | findstr "3389"，显示LISTENING状态即为开启。

• 渗透价值：3389是内网渗透核心目标端口，可练习口令爆破、哈希传递登录、远程桌面劫持等技巧。

4. 开启SMB服务并启用SMBv1（永恒之蓝漏洞前提）

• 开启SMB服务：2008 R2默认开启SMB服务（139、445端口），CMD输入 netstat -ano | findstr "139\|445"，验证端口监听。

• 启用SMBv1（关键）：

  • 「控制面板」→「程序和功能」→「启用或关闭Windows功能」。

  • 展开「SMB 1.0/CIFS 文件共享支持」，勾选「SMB 1.0/CIFS 服务器」→「确定」，重启服务器生效。

• 卸载永恒之蓝补丁（模拟漏洞环境）：

  • 「控制面板」→「程序和功能」→「查看已安装的更新」。

  • 搜索并卸载以下补丁（修复MS17-010的补丁）：KB4012212、KB4012215、KB4013389、KB4019264。

  • 重启服务器，永恒之蓝漏洞环境搭建完成。

• 渗透价值：SMB是内网渗透核心协议，可练习永恒之蓝（MS17-010）攻击、哈希传递（PTH）、SMB口令爆破、共享文件夹遍历（ADMIN$/C$/SYSVOL）等技巧。

5. 安装IIS服务（Web渗透环境）

• 操作路径：「服务器管理器」→「角色」→「添加角色」→ 勾选「Web服务器（IIS）」→ 下一步，勾选「万维网服务」「ASP」「ASP.NET」（便于练习Web脚本漏洞）→ 完成安装。

• 验证：在Kali浏览器访问 http://192.168.10.20，显示IIS 7.5欢迎页面即为成功。

• 留后门测试文件：在C:\Inetpub\wwwroot目录下新建test.asp，内容为 <% response.write "HACKEPTS DC Web Backdoor" %>，访问http://192.168.10.20/test.asp可正常显示内容。

• 渗透价值：补充Web渗透场景，可练习IIS解析漏洞、ASP脚本攻击、Web后台 Getshell 等技巧，实现“Web+域”联动渗透。

6. 配置域用户与组（模拟真实域环境）

• 新建域普通用户：

  • 打开「Active Directory 用户和计算机」→ 右键「Users」→「新建」→「用户」。

  • 填写姓名（如Butcher）、登录名（Butcher）→ 下一步，设置密码（如Butcher_123），取消「用户下次登录必须修改密码」，勾选「密码永不过期」→ 完成。

• 添加用户到特权组：将Butcher用户添加到「Domain Admins」组（右键用户→「添加到组」→ 输入Domain Admins→ 确定），模拟特权用户，便于练习横向移动。

• 渗透价值：模拟真实域环境的用户层级，可练习域用户枚举、特权用户识别、组策略权限滥用等技巧。

第五阶段：靶机可用性验证（Kali攻击机测试）

所有配置完成后，在Kali中执行以下命令，全部验证通过即为“合格靶机”。

1. 端口扫描（核心端口开放验证）： nmap -Pn -p 139,445,3389,389,80 192.168.10.20预期结果：所有端口均显示OPEN，其中389（LDAP）为域控默认端口，80（IIS）为Web服务端口。

2. SMB服务与用户验证： crackmapexec smb 192.168.10.20 -u Administrator -p "Luxiang_83993939" -d HACKEPTS --users预期结果：显示SMB登录成功，并列出域内用户（Administrator、Butcher等）。

3. RDP连接验证： rdesktop -u HACKEPTS\Administrator -p "Luxiang_83993939" 192.168.10.20 -g 1366x768预期结果：弹出RDP窗口，成功登录域控桌面。

4. 永恒之蓝漏洞探测： msfconsole -q -x "use auxiliary/scanner/smb/smb_ms17_010; set RHOSTS 192.168.10.20; run"预期结果：显示“Host is likely VULNERABLE to MS17-010”，说明漏洞环境可用。

5. Web服务验证：浏览器访问http://192.168.10.20/test.asp，显示预设内容即为成功。

第六阶段：常见坑点与“乡村包围城市”解法

问题现象	原因分析	野蛮人解法（绕过/修复）
Kali Ping不通域控，端口扫描全过滤	Windows防火墙未关闭，或网络适配器模式错误	1. 重新关闭防火墙；2. 确认Kali与靶机均为同一VMnet网络；3. 检查靶机IP是否与Kali在同一网段。
dcpromo升级域控失败，提示DNS解析错误	DNS服务器未指向自身IP，或DNS服务未安装	1. 重新配置IPv4，将首选DNS改为靶机自身IP；2. 卸载AD域服务，重新安装后再执行dcpromo。
xfreerdp3连接3389报错，rdesktop可用	新版xfreerdp3与2008 R2的RDP协议兼容差	放弃xfreerdp3，改用rdesktop（兼容性最佳）；或用Windows的mstsc远程连接。
永恒之蓝攻击失败，提示“目标不脆弱”	未启用SMBv1，或未卸载对应补丁	1. 重新启用SMBv1并重启；2. 检查是否卸载所有相关补丁，重启后再次探测。
SMB连接提示“拒绝访问”，密码正确	域用户权限不足，或SMB安全策略限制	1. 确认用户属于Domain Admins组；2. 降低SMB安全策略（本地安全策略→安全选项→网络安全：LAN管理器身份验证级别，改为“仅发送NTLMv2响应”）。

第七阶段：打印教学备注（核心提醒）

1. 本手册所有配置均围绕“渗透实战”设计，部分设置（关闭防火墙、启用SMBv1）不符合生产环境安全规范，仅用于靶机练习。

2. 密码建议统一使用下划线替代@，避免Kali终端解析错误，降低命令行操作门槛。

3. 域控IP、域名、用户名建议固定（如本文的192.168.10.20、hackepts.com），便于后续渗透练习的连贯性。

4. 每次练习完成后，可给靶机创建快照，避免重复搭建；若环境混乱，直接恢复快照即可快速复用。

5. 进阶拓展：可添加Windows 7 SP1虚拟机作为域内普通主机，加入HACKEPTS域，搭建“域控+普通主机”的完整内网环境，练习横向移动。