Webshell到域控实战教程:红队内网横向移动完整攻击链复盘

📅 发布时间:2026/7/18 9:14:22
Webshell到域控实战教程:红队内网横向移动完整攻击链复盘 一、前言真实内网渗透的核心逻辑很多安全从业者初学内网渗透时会陷入一个误区过度依赖高危零日漏洞认为只有爆出顶级漏洞才能拿下内网、接管域控。但在真实红队演练、实战渗透中绝大多数企业域环境沦陷都不是单一高危漏洞导致而是多个低危缺陷、管理漏洞、配置问题叠加让攻击者从边缘Web站点一路畅通直达内网核心。外网Webshell打点、本地权限提升、内网信息搜集、凭证抓取、多层横向移动、域控接管、权限维持、痕迹清理这套链路是目前政企内网渗透的标准主流打法。无复杂零日利用、无暴力爆破行为全程依托常规漏洞和配置缺陷也是护网、红蓝对抗中红队使用率最高的攻击链条。本文基于真实企业Windows域环境完整复现从外网拿到Webshell到最终接管域控的全流程拆解每一步技术细节、工具指令、绕过思路同时结合实战踩坑经验给出可落地的防御方案不管是面试备考、红蓝对抗实战还是内网安全加固都具备直接参考价值。本次演练全程遵循MITRE ATTCK框架所有操作合规可控仅用于安全测试与教学研究禁止用于未授权测试与非法攻击行为。二、靶场环境与攻击链路总览2.1 真实环境拓扑本次模拟企业标准三层网络架构分为外网边界层、内网业务层、域核心层完全复刻中小型政企通用域环境拓扑外网边界节点Windows Server 2016 IIS Web服务器域成员主机公网IP直接暴露开放80、443、445、3389端口运行业务网站是外网唯一入口内网业务节点3台Windows Server 2016业务服务器、若干Windows 10办公终端全部加入域环境内网互通无严格隔离域核心节点Windows Server 2019 域控制器内网核心资产管控全域账号、组策略、主机权限IP固定为192.168.1.102.2 全链路攻击流程图A[外网资产探测] – 文件上传漏洞 -- B[获取Webshell低权限]B[获取Webshell低权限] – 本地提权漏洞 -- C[获取服务器System权限]C[获取System权限] – Mimikatz抓取凭证 -- D[拿到本地/域用户哈希]D[凭证获取] – 内网网段扫描 -- E[梳理内网存活资产与域架构]E[内网信息搜集] – PTH哈希传递/IPC横向 -- F[控制内网业务主机]F[业务主机沦陷] – 抓取域用户凭证 -- G[升级高权限域凭证]G[高权限凭证] – PsExec远程执行 -- H[突破域控防护]H[域控突破] -- I[接管域控获取全域权限]I[域控接管] -- J[生成黄金票据维持权限]J[权限维持] -- K[清理全链路攻击痕迹]2.3 核心使用工具清单本次实战全部使用红队常规开源、合规工具无自定义恶意免杀木马适配主流攻防演练环境蚁剑Webshell连接、基础文件管理、低权限命令执行Cobalt Strike 4.7会话持久化、内网扫描、PTH哈希传递、远程命令执行Mimikatz内存凭证抓取、NTLM哈希导出、票据生成Proxychains内网流量代理转发、隐匿攻击溯源PsExecWindows原生远程服务执行工具横向移动核心工具PowerView域环境信息搜集、域用户/组策略查询三、外网打点文件上传漏洞获取Webshell3.1 外网资产探测与漏洞定位外网渗透的第一步永远是资产测绘与漏洞探测。针对目标企业公网域名使用目录扫描、端口扫描、架构识别工具对站点进行全维度探测。目标站点运行在Windows Server 2016 IIS 10.0 ASP.NET架构是政企传统业务网站最常见的部署方式。对站点功能点逐一测试后发现网站后台文件上传模块存在典型的前端校验漏洞。开发者仅通过前端JavaScript代码校验文件后缀拦截exe、aspx、php等恶意格式后端未做二次校验、未检测文件头部特征用户可直接抓包修改后缀、绕过前端限制上传恶意脚本。端口扫描结果显示该边界服务器对外开放80、443、3389、445端口。445端口开放且未做公网IP拦截这是后续内网横向移动能够落地的关键前置条件也是绝大多数企业边界防护的通用短板。3.2 绕过防护上传加密Webshell常规明文一句话木马特征过于明显极易被WAF、杀毒软件拦截。本次实战采用变形加密ASPX木马混淆代码特征规避静态查杀。核心绕过思路前端上传限制仅校验文件名后缀抓包将木马文件后缀改为jpg上传成功后通过地址访问、重命名为aspx格式绕过前端校验与基础查杀。成功上传后通过蚁剑配置连接地址、密码与编码方式成功获取站点初始权限。此时权限为IIS匿名服务账户权限权限范围极窄仅能操作网站根目录文件无法查看系统用户、注册表、内网网段信息不具备内网渗透条件。3.3 初始权限信息收集拿到低权限Webshell后不急于提权先完成基础信息摸排确认主机环境执行系统命令查询主机域名、域成员状态、系统版本、补丁安装情况确认当前服务器为域内成员机而非独立工作组主机。这意味着这台机器存在域用户登录记录、内存可能缓存域凭证具备后续横向价值。同时查询系统补丁列表发现服务器长期未更新存在多款公开可利用的本地提权漏洞。四、本地提权从Web权限突破至System最高权限低权限Web服务账户无法执行系统级操作、无法抓取内存凭证、无法搭建内网代理内网渗透的第一步突破必须完成本地提权将权限提升至系统System级别。4.1 提权漏洞筛选与选型对系统补丁清单进行比对筛查确认目标主机未修复MS14-058本地提权漏洞。该漏洞针对Windows内核权限校验缺陷普通用户可通过构造恶意内核请求突破权限限制直接获取系统最高权限漏洞利用稳定、特征低、适配Windows Server 2016全版本。相较于MS17-010等远程漏洞MS14-058本地提权无需网络交互仅需本地执行成功率更高且不会产生大量异常端口流量隐蔽性更强适合边界服务器提权场景。4.2 提权完整实操流程蚁剑原生会话权限有限且稳定性不足无法支撑长期内网渗透。实战中统一采用「Webshell迁移CS会话 漏洞提权」的标准流程1、本地CS生成适配Windows Server 2016的EXE提权载荷做基础免杀处理规避 Defender 基础查杀2、通过蚁剑上传载荷至服务器临时目录执行运行命令将Webshell会话迁移为CS稳定Beacon会话3、在CS控制台调用MS14-058提权模块一键执行漏洞利用4、会话权限刷新为NT AUTHORITY\SYSTEM完成本地权限突破。4.3 本机凭证抓取核心横向素材System权限下可直接读取系统内存缓存的所有用户凭证包括本地管理员、域登录用户的账号与NTLM哈希。这一步是整个内网横向移动的核心支点企业内网沦陷大多源于凭证泄露与密码复用。引入Mimikatz工具执行凭证抓取以下为可直接复制使用的完整命令# Mimikatz 一键抓取内存凭证、哈希、票据privilege::debug sekurlsa::logonpasswords lsadump::sam lsadump::lsa/patchexit执行结果可清晰输出本机所有登录用户、明文密码、NTLM哈希、域凭证信息。本次实战抓取后发现关键问题该边界Web服务器的本地管理员账号密码与内网3台业务服务器的管理员密码完全一致全域存在密码复用问题。单点凭证泄露直接打通内网横向基础通路。五、内网全量信息搜集绘制内网真实资产拓扑外网主机提权、拿到凭证后核心工作从“突破单点”转为“摸清全域”。内网渗透切忌盲目横向必须先完成网段探测、资产梳理、端口筛查、域信息搜集精准定位高价值资产。5.1 基础网段与路由探测通过系统内置命令查询内网路由与网卡信息确认核心内网网段ipconfig /all route print net config workstation命令执行后确认内网核心网段为192.168.1.0/24所有域主机、业务主机、域控均部署在该网段无分段隔离全网互通。5.2 内网存活主机扫描依托CS内置扫描模块搭建内网代理隧道对192.168.1.0/24网段进行ICMP存活探测全端口扫描。规避大规模扫描产生的流量特征采用分批扫描、低速探测模式避免触发安全设备告警。扫描后存活主机共计13台包含业务服务器、办公终端、域控制器。重点标记开放445、135、5985端口的主机这类端口是内网横向移动的主要突破口。5.3 域环境深度信息搜集普通内网主机价值有限域环境的核心是域控与域账号体系。通过Windows原生域查询命令PowerView脚本批量获取域核心信息以下为域信息搜集完整可复制命令# 基础域信息查询net view/domain net domain net user/domain netgroup/domain# PowerView 域核心资产探测Import-ModulePowerView.ps1Get-NetDomainGet-NetDomainControllerGet-NetUserGet-NetComputerGet-NetGroup-GroupNameDomain Admins执行后精准获取域名、域控IP、域管理员组、所有域用户、所有域成员主机信息。明确域控制器IP为192.168.1.10主机名为DC-2019域管理员组包含2名高权限账号且存在跨主机登录记录。5.4 内网资产风险筛查对存活主机端口筛查后发现内网普遍存在三大高危配置缺陷一是90%以上主机开放445端口无IP白名单限制二是所有域主机未开启强制SMB签名可直接被PTH哈希传递攻击利用三是内网主机默认开启IPC$共享允许匿名、远程账号连接为横向移动提供天然入口。六、多层横向移动逐级渗透逼近域控核心本次横向移动全程采用无文件落地、无暴力破解、无恶意载荷落地的隐蔽打法依托凭证复用、协议漏洞、远程服务执行分三层完成内网渗透逐步从普通业务主机突破至域控周边。6.1 内网横向移动技术架构图A[外网Web跳板机] – 本地管理员哈希 -- B[内网业务主机集群]B – 抓取域普通用户凭证 -- C[域内权限升级]C – 域管理员哈希/PTH -- D[域控服务器]B1[IPC$管道连接] -- BB2[PTH哈希传递] -- BC1[域组策略查询] -- CD1[PsExec远程执行] -- DD2[Kerberos票据伪造] -- D6.2 第一层横向拿下内网业务主机基于前期抓取的本地管理员NTLM哈希使用PTH哈希传递攻击对内网存活主机进行批量横向。PTH攻击的核心优势是无需明文密码、无需爆破、无登录日志明文记录仅通过哈希值即可完成身份认证隐蔽性极强。CS内置PTH模块可直接注入哈希针对192.168.1.0/24网段开放445端口的主机批量尝试登录。本次实战成功拿下3台核心业务服务器全部获取System权限。同时通过IPC$管道建立持久远程连接执行文件复制、命令推送、服务创建等操作将每一台沦陷的业务主机都作为新的跳板节点扩大内网控制范围。针对单主机IPC横向连接可直接使用以下命令# 建立IPC$远程连接 net use \\192.168.1.20\ipc$ /user:Administrator # 远程执行系统命令 wmic /node:192.168.1.20 process call create cmd /c whoami6.3 第二层横向升级域用户高权限凭证本地管理员凭证仅能管控单台主机无法查询域核心数据、无法操作域内资源。在拿下内网业务主机后再次通过Mimikatz抓取主机内存凭证成功获取到域普通用户登录凭证。域用户凭证具备域内基础访问权限可查询域用户列表、域组策略、域主机信息、域管理员登录日志。通过域凭证筛查发现域管理员账号存在长期跨主机登录的习惯且密码半年未更新全域密码复用风险极高。此时攻击链路完成关键升级从“单机管理员权限”升级为“域内通行权限”具备了定向攻击域控的基础条件。6.4 第三层横向突破域控周边防护拿到域高权限凭证后针对域控进行定向探测。域控主机仅开放核心服务端口无多余业务端口但445、135端口正常对外开放内网主机可直接访问且未开启SMB强制签名校验无法抵御哈希传递与PsExec远程攻击。为规避直接攻击域控产生异常流量日志本次实战通过内网业务跳板机搭建代理隧道所有攻击流量经内网跳板转发隐藏攻击源头规避溯源。七、域控接管获取全域最高控制权限7.1 域控权限突破实操整合前期收集的域管理员NTLM哈希通过PsExec工具发起远程服务执行攻击。PsExec依托Windows原生RPC服务可远程创建服务、执行系统命令、返回交互式会话是红队接管Windows域控的核心工具流量特征贴近正常运维行为极难被常规安全设备拦截。以下为PsExec接管域控的核心执行命令# PsExec 通过域管理员哈希远程获取域控System权限 psexec \\192.168.1.10 -u 域名\域管理员账号 -p 哈希值 cmd命令执行成功后直接获取域控交互式System权限会话完成本次演练核心目标全域最高权限接管。7.2 域核心数据全量窃取域控是整个域环境的核心数据库接管权限后可批量导出所有域内核心资产数据完全掌控整个企业内网1、导出全域用户账号、明文密码、NTLM哈希、用户组权限配置覆盖所有员工与运维账号2、读取域组策略、域信任关系、域内所有主机清单、域权限配置3、抓取域控内存Kerberos票据获取黄金票据、白银票据的生成密钥与基础参数为后续权限维持做准备。八、权限维持与痕迹清理隐匿长期控制通道8.1 域控持久化权限维持临时会话极易随着服务器重启、服务刷新、日志清理失效红队实战中必须搭建持久化权限维持通道保证长期可控。本次采用Kerberos黄金票据维持隐藏账号维持双方案。黄金票据可伪造域管理员身份脱离原有账号密码体系任意登录域控及所有域内主机是域环境最高级的持久化手段。以下为黄金票据生成核心代码# Mimikatz 生成黄金票据kerberos::golden/admin:Administrator/domain:test.com/sid:S-1-5-21-xxx-xxx-xxx/krbtgt:域控krbtgt哈希/ticket:gold.tkt kerberos::ptt gold.tktexit同时创建隐藏管理员账号通过注册表隐藏账号信息加入域管理员组实现双重持久化留存。8.2 全链路痕迹清理实操演练收尾必须完整清理攻击痕迹规避日志溯源与安全审计。痕迹清理覆盖外网节点、内网跳板、域控全节点1、删除外网服务器上传的所有木马、载荷、临时脚本文件清空网站访问日志2、清空系统安全日志、应用程序日志、PowerShell执行日志、远程服务日志Windows日志清理命令如下# 一键清空系统所有日志 wevtutil cl System wevtutil cl Security wevtutil cl Application3、关闭所有IPC$远程连接、删除远程计划任务、清空内存凭证缓存、销毁所有临时票据4、删除隐藏账号、销毁黄金票据、还原域组策略默认配置保证环境完全复原。九、全链路风险根源复盘复盘整套攻击链路全程无零日漏洞、无高危漏洞利用所有突破均依托企业常态化安全管理缺陷单点漏洞不足以沦陷全网多重缺陷叠加才导致域控失守。外网边界防护存在明显短板。业务网站仅依靠前端代码做上传校验无后端内容检测、无WAF防护、无恶意脚本拦截攻击者可直接上传木马获取立足点外网边界完全失效。系统补丁运维机制缺失。边界服务器长期未更新高危内核漏洞低权限用户可直接提权至系统最高权限让初始立足点直接升级为完全服务器控制权。账号权限管理极度混乱。全域密码复用、弱密码、长期不换密问题严重本地管理员、域用户、域管理员账号密码互通单点凭证泄露直接扩散全网。域管理员跨主机登录无限制进一步放大泄露风险。内网无任何隔离与防护策略。全网网段互通、高危端口无拦截、SMB签名未开启、默认共享未关闭内网完全处于裸奔状态一台主机沦陷即可横向遍历所有内网资产。域权限管控过于宽松。普通域用户可查询域核心配置、域用户信息、域控资产无权限最小化约束攻击者可依托低权限域账号快速搜集核心情报。日志审计体系不完善。全网主机日志留存不全、无异常登录告警、无横向流量审计、无批量扫描行为监测入侵全过程无任何告警提示安全人员无法及时发现、处置攻击行为。十、落地式安全加固方案针对本次演练暴露的所有风险从外网、主机、内网、域环境、审计五个维度给出可直接落地的加固方案适配政企常态化安全运维场景。外网Web防护做双向校验修复。彻底摒弃前端单一校验模式后端增加文件后缀、文件头部特征、文件内容双重检测拦截畸形后缀、伪装木马文件。部署企业级WAF开启恶意脚本上传拦截、异常流量监测、目录扫描防护封堵外网所有高危端口非必要访问权限。建立常态化漏洞补丁巡检机制。针对Windows服务器、终端设备按月推送高危漏洞补丁重点修复提权漏洞、SMB远程漏洞、RPC漏洞。搭建漏洞扫描平台定期全网探测未修复漏洞形成闭环整改机制。规范全域账号密码安全策略。AD域组策略强制开启密码复杂度、定期换密、禁止密码复用封禁弱密码账号。限制域管理员跨主机登录域管理员仅允许登录域控与核心运维主机杜绝全域通用登录。开启账号异常登录、异地登录、批量登录告警。实施内网网段隔离与端口管控。按照业务职能划分内网网段边界服务器、业务服务器、办公终端、域核心机分段隔离配置ACL访问控制策略禁止跨段无序互通。全网主机开启强制SMB签名关闭默认IPC$共享封堵非必要445、135、3389端口公网与内网匿名访问。收紧域环境权限体系。通过AD组策略限制普通域用户查询域核心信息、远程访问主机权限落实权限最小化原则。关闭域内无用远程服务、废弃协议、冗余共享缩减攻击面。搭建全网日志集中审计平台。汇总防火墙、服务器、域控、终端所有日志数据配置横向移动、哈希传递、异常远程执行、批量端口扫描等攻击行为的专项告警实现入侵行为秒级发现、快速溯源、及时处置。十一、总结与互动提问从Webshell单点打点到全域域控接管这套经典攻击链至今仍是红蓝对抗、护网行动中最主流、最高成功率的渗透打法。整个流程核心不在于高端漏洞与复杂技术而在于企业基础安全配置的层层失守。外网打点突破边界、提权拿到系统权限、凭证泄露打开内网大门、无隔离环境放任横向移动、宽松域权限助力最终接管每一个环节的小漏洞叠加最终造成全网沦陷的严重后果。企业内网安全的核心从来不是抵御零日漏洞而是补齐基础安全短板、规范运维配置、搭建纵深防御体系从源头阻断攻击者的横向移动通路。互动问题1你在红蓝对抗或渗透测试中遇到过哪些比密码复用更常见的内网横向突破口互动问题2针对域环境PTH哈希传递攻击你认为最有效的落地防御手段是什么