实战攻防演练：从打点到Vcenter控制的全过程分析

实战攻防演练：从打点到Vcenter控制的全过程分析 一、目标寻找与初步渗透 1.1 目标筛选策略 优先寻找易获取权限的站点：Shiro、Weblogic反序列化等已知漏洞 锁定管理后台，使用爆破等手段寻找可用账号密码 寻找上传点获取Webshell 1.2 文件上传绕过技巧 在发现上传点但存在WAF拦截时，采用以下方法绕过： 修改Content-Type头 修改boundary前加减空格 添加多个Content-Disposition字段 使用分块传输编码 插入脏字符干扰检测 1.3 目录遍历利用 通过目录扫描发现上传文件路径： http://IP/upload/Attachment/ 利用目录遍历漏洞查看不同日期上传的文件 二、权限提升与EDR绕过 2.1 初始权限获取 获取Webshell后发现是IIS权限 发现系统装有杀软和EDR防护 2.2 数据库提权 发现开放1433(MSSQL)端口 查找配置文件获取数据库连接信息 通过CS代理连接MSSQL 执行命令获取system权限 2.3 EDR绕过技术 使用query user确认管理员状态 利用mimikatz获取管理员密码和hash 搭建socks隧道进入远程桌面 发现EDR二次验证文件路径： C:\Program Files\Sangfor\EDR\agent\bin\sfrdpverify.exe 通过删除/重命名该文件绕过EDR验证 三、内网横向移动 3.1 信息收集与凭证利用 在管理员主机发现阿里云盘 搜索云盘文件发现密码本txt 获取多台服务器凭证 3.2 内网扫描策略 使用第二台跳板机进行扫描(降低告警风险) 避免在单一跳板机上进行大规模扫描 3.3 隔离网络突破 通过mstsc记录发现新网段机器 确认只有特定服务器可访问目标网段 发现"套娃"服务器(xx.xx.xx.7) 对不出网机器使用CS中转功能上线 四、Vcenter攻陷 4.1 漏洞测试 测试常见漏洞(CVE-2021-21972、CVE-2021-21985)无果 进行全端口扫描发现41433端口MSSQL服务 4.2 密码碰撞攻击 弱口令爆破失败 收集所有已获取的服务器、数据库、浏览器密码 进行密码碰撞尝试 成功获取vcenter服务器权限 五、总结与经验 5.1 关键成功因素 细致的初始信息收集 多层次的权限提升技术 有效的EDR绕过方法 内网横向移动的谨慎策略 密码重用漏洞的利用 5.2 攻防演练建议 根据评分规则进行目的性渗透 管理好时间分配，避免迷失在过多信息中 保持耐心，实际渗透中会遇到许多弯路 对安全设备和蓝队防守要有充分准备 5.3 最终成果 控制约70余台服务器 获取20台数据存储权限 成功使目标单位出局 通过此案例可以看出，现代网络攻防不仅需要技术能力，还需要策略思维和耐心，特别是在面对多层防御体系时，逐步推进、稳扎稳打往往比激进攻击更有效。