文章总结： 本文是《攻防演练|2025年某市攻防演练小记》的学习笔记，系统阐述了从边界突破到内网横向移动最终夺取域控的完整攻击路径。攻击者通过密码爆破获取Adminer应用权限并写入Webshell，利用Actuator未授权访问获取SSH凭据复用至K8S服务器，再通过漏洞攻破vCenter，借助永恒之蓝漏洞获取域成员机器权限，最终通过操作系统凭据访问窃取域管凭据拿下域控。文章针对每个攻击节点分析了安全风险，并提供了包括定期风险评估、修复漏洞、部署防护产品、收敛网络权限、限制域管登录范围、监测LSASS内存读取等具体加固措施。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,实战经验,安全建设

攻击路径(7)：通过域控拿下靶标

原创

罗锦海 罗锦海

OneMoreThink

2026年2月23日 12:54 广东

本文是《攻防演练 | 2025年某市攻防演练小记》的学习笔记，欢迎大家阅读原文。

完整攻击路径

路径节点、安全风险、加固措施

边界突破阶段

1、通过（密码暴破）攻击，获取（Adminer的）应用权限

「应用存在被漏洞攻击的风险」：可被攻击者获取应用权限。

1. 针对应用定期开展风险评估，包括但不限于漏洞扫描、渗透测试、代码审计、攻防演练；
2. 及时修复应用的已知漏洞，尤其是互联网应用；
3. 针对应用部署WAF或RASP等应用侧安全防护产品；
4. 针对应用及其数据库的服务器，部署HIDS或EDR等主机侧安全防护产品；
5. 针对应用及其数据库的服务器，投放蜜罐诱饵；
6. 针对应用及其数据库的部署网段，部署全流量、蜜罐等流量侧安全检测产品；
7. 优化应用及其数据库的服务器的部署网段和可达网段，收敛其内网访问权限。

2、通过（写Webshell）攻击，获取（Adminer的）服务器权限

安全风险、加固措施，与路径节点1相同。

内网横向阶段1

3、通过（Actuator未授权访问）攻击，获取（SSH的）登陆凭据

安全风险、加固措施，与路径节点1相同。

4、通过（SSH凭据复用）攻击，获取（K8S等）服务器权限

「凭据被盗后存在登录利用和口令复用的风险」：可被攻击者用于登录尝试，获取应用、服务器、数据库、云环境的权限。

1. 系统中避免存在相同密码，或应启用双因素认证机制；
2. 在风险较大的凭据失窃点投放凭据类蜜罐诱饵，并监测相关凭据使用情况以发现失陷事件。

内网横向阶段2

5、通过（漏洞）攻击，获取（vCenter等）应用权限

安全风险、加固措施，与路径节点1相同。

6、通过（永恒之蓝漏洞）攻击，获取（域成员机器等）服务器权限

「未收敛DMZ服务器访问内网的权限」：导致攻击者从互联网突破边界获取DMZ区域的服务器权限后，可进一步横向到内部网络区域。

1. 收敛DMZ区域服务器访问内网区域的网络权限

内网横向阶段3

7、通过（操作系统凭据访问）攻击，获取域管凭据、域控权限，进而获取靶标服务器权限

「域管凭据存在凭据访问攻击风险」：Windows操作系统的账号密码，登录后会缓存在LSASS进程中，可被攻击者读取。域管账户曾经登录过的机器，都存在被攻击者获得域管凭据和域控权限的风险。

1. 域管账户只允许登录域控制器，避免凭据被缓存在其他机器中，域管理员可以使用权限委派来完成日常工作
2. 通过Windows防火墙限制域控制器的RDP入站连接，只能从指定跳板机或管理网段发起
3. 所有管理员账户都添加到“Protected Users”组中，避免凭据被缓存在机器中
4. 监测处置跨进程读取LSASS进程内存的行为

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OneMoreThink 罗锦海 罗锦海《攻击路径(7)：通过域控拿下靶标》