红队印象:柳暗花明+收米跑路
字数 1082 2025-08-05 08:19:40

红队渗透实战教学:从信息收集到域控获取

一、信息收集阶段(柳暗花明)

1. 信息收集方法论

  • What->Why->How原则:确认收集到的信息是什么、为什么存在、如何利用
  • 外围打点:寻找边界突破点,不局限于常规攻击面

2. 实战案例中的信息收集过程

  1. 初始受阻

    • 正面攻击和子域名攻击失败
    • 识别到的端口应用无法直接利用

  2. 端口发现

    • 发现非常规端口8101、8102
    • 8101端口访问显示空白页面(不意味着无用)

  3. 目录扫描

    • 对8101端口进行目录扫描,发现有效路径
    • 通过路径拼接发现更多内容

  4. 接口分析

    • 发现包含多个接口的文件
    • 通过"注册条款及隐私协议"确认目标APP身份

  5. APP利用

    • 从互联网下载目标APP最新安卓版本
    • 分析APP功能寻找攻击面

3. 文件上传漏洞利用

  1. 发现文件上传功能
  2. 绕过方法:修改Content-Type参数
  3. 成功上传Webshell并获取连接

4. 权限提升

  1. 初始权限较低
  2. 使用Godzilla工具进行提权(运气因素)
  3. 发现数字杀毒软件进程

5. 免杀技术

  1. 远程下载免杀木马
  2. 成功执行并上线

二、内网横向移动(收米跑路)

1. 本地信息收集

  1. 确认机器不在域中
  2. 获取明文登录凭证
  3. 分析密码规律(发现密码后四位为年份)

2. 网络发现

  1. 识别两个内网IP段
  2. 基于收集的凭证构造密码字典(利用年份规律)

3. RDP爆破

  1. 调高线程快速爆破
  2. 成功爆破多台机器(密码格式为**2017)

4. 域内操作

  1. 通过爆破成功的机器确认域内状态
  2. 定位域控制器
  3. 获取域内凭证

5. 域控获取

  1. 成功登录域控制器
  2. 确认域管理员权限
  3. 完成任务后快速撤离

三、关键技术点总结

  1. 信息收集

    • 不放过任何看似无用的信息(如空白页面)
    • 坚持What->Why->How的分析方法
    • 通过间接方式(如APP)获取目标信息

  2. 漏洞利用

    • 文件上传漏洞的Content-Type绕过
    • 免杀技术的应用

  3. 横向移动

    • 密码模式识别(年份规律)
    • 高效率的RDP爆破策略
    • 快速定位域控的方法

  4. 操作节奏

    • "唯快不破"的渗透理念
    • 完成任务后及时撤离的安全意识

四、防御建议

  1. 边界防御

    • 严格控制对外开放的端口
    • 对非常规端口实施严格访问控制

  2. 应用安全

    • 文件上传功能的严格校验
    • 接口和目录的权限控制

  3. 内网安全

    • 避免密码使用可预测模式
    • RDP服务的防护措施
    • 域管理员账户的严格保护

  4. 监控响应

    • 异常登录行为检测
    • 快速响应机制

本案例展示了红队从外围突破到内网控制的完整链条,强调了信息收集的重要性、漏洞利用的技巧性以及横向移动的高效性,同时也揭示了常见的企业安全弱点。

红队渗透实战教学:从信息收集到域控获取 一、信息收集阶段(柳暗花明) 1. 信息收集方法论 What->Why->How 原则:确认收集到的信息是什么、为什么存在、如何利用 外围打点 :寻找边界突破点,不局限于常规攻击面 2. 实战案例中的信息收集过程 初始受阻 : 正面攻击和子域名攻击失败 识别到的端口应用无法直接利用 端口发现 : 发现非常规端口8101、8102 8101端口访问显示空白页面(不意味着无用) 目录扫描 : 对8101端口进行目录扫描,发现有效路径 通过路径拼接发现更多内容 接口分析 : 发现包含多个接口的文件 通过"注册条款及隐私协议"确认目标APP身份 APP利用 : 从互联网下载目标APP最新安卓版本 分析APP功能寻找攻击面 3. 文件上传漏洞利用 发现文件上传功能 绕过方法:修改Content-Type参数 成功上传Webshell并获取连接 4. 权限提升 初始权限较低 使用Godzilla工具进行提权(运气因素) 发现数字杀毒软件进程 5. 免杀技术 远程下载免杀木马 成功执行并上线 二、内网横向移动(收米跑路) 1. 本地信息收集 确认机器不在域中 获取明文登录凭证 分析密码规律(发现密码后四位为年份) 2. 网络发现 识别两个内网IP段 基于收集的凭证构造密码字典(利用年份规律) 3. RDP爆破 调高线程快速爆破 成功爆破多台机器(密码格式为** 2017) 4. 域内操作 通过爆破成功的机器确认域内状态 定位域控制器 获取域内凭证 5. 域控获取 成功登录域控制器 确认域管理员权限 完成任务后快速撤离 三、关键技术点总结 信息收集 : 不放过任何看似无用的信息(如空白页面) 坚持What->Why->How的分析方法 通过间接方式(如APP)获取目标信息 漏洞利用 : 文件上传漏洞的Content-Type绕过 免杀技术的应用 横向移动 : 密码模式识别(年份规律) 高效率的RDP爆破策略 快速定位域控的方法 操作节奏 : "唯快不破"的渗透理念 完成任务后及时撤离的安全意识 四、防御建议 边界防御 : 严格控制对外开放的端口 对非常规端口实施严格访问控制 应用安全 : 文件上传功能的严格校验 接口和目录的权限控制 内网安全 : 避免密码使用可预测模式 RDP服务的防护措施 域管理员账户的严格保护 监控响应 : 异常登录行为检测 快速响应机制 本案例展示了红队从外围突破到内网控制的完整链条,强调了信息收集的重要性、漏洞利用的技巧性以及横向移动的高效性,同时也揭示了常见的企业安全弱点。