渗透测试实战教学：从外网到内网的完整渗透过程

0x00 前言

本教学文档基于一次真实的渗透测试案例，详细记录了从外网7个IP开始，最终获取内网核心系统的完整过程。文档将按照渗透测试的标准流程进行组织，涵盖信息收集、漏洞利用、横向移动等关键环节。

0x01 信息收集阶段

1.1 初始扫描

给定7个外网IP地址作为目标
使用端口扫描工具进行初步探测
发现开放端口：
- x.x.x.222:8009 (AJP协议)
- x.x.x.223:20080 (HTTP)
- x.x.x.39:8008 (HTTP)

注意事项：

初始扫描结果较少时，不要轻易放弃
应尝试多种扫描工具和参数组合
对于返回404/403的web服务，仍需深入探测

1.2 Web目录发现

通过结合命名规律扫描，发现以下有效页面：

http://x.x.x.xxx:8888/z1234/ (报名页面，已停用)
http://x.x.x.xxx:20080/download/ (文件下载页面)

技巧：

使用字典爆破常见目录结构
观察网站命名规律(如数字序列)
即使看似无用的页面也可能隐藏漏洞

0x02 漏洞利用阶段

2.1 APP逆向分析

发现目标系统有移动APP应用
反编译APP发现签名机制
关键代码段：

// 签名算法示例
public String generateSign(String params) {
    // 实现签名逻辑
}

攻击方法：

分析签名算法逻辑
编写脚本模拟签名过程
构造恶意数据包绕过验证

2.2 逻辑漏洞利用

发现关键参数：

amt参数控制转账金额
系统设计缺陷：负数金额可增加余额

利用过程：

正常转账：amt=-100 (减少100)
修改为：amt=100 (增加100)
系统错误地增加用户余额

影响：

可无限增加账户余额
余额可兑换现金或购买商品

2.3 文件上传获取Webshell

发现文件上传功能
绕过限制上传Webshell
成功获取服务器控制权限

环境特点：

无域环境
每台主机都安装杀毒软件
之前因安全检查被处罚过

0x03 内网横向移动

3.1 权限维持技巧

绕过杀毒软件限制：

无法直接添加/删除用户
但可以将现有用户(如Guest)加入管理员组
参考技术：https://xz.aliyun.com/t/4078

远程控制方案：

端口转发到公网
上传TeamViewer进行远程控制
- TV优化好，网速快
- 适合通过代理访问的场景

3.2 内网扫描与发现

扫描策略：

使用masscan快速扫描C段
批量采集端口信息并分类
重点扫描：
- 核心资产
- 常见脆弱端口

发现结果：

找到Windows Server 2003系统
可利用Guest账户空口令登录
- Windows 2003默认允许空口令登录

3.3 横向渗透技巧

凭证重用：
- 获取的密码在内网其他系统中尝试
- 成功率通常较高
漏洞利用：
- MS17-010 (永恒之蓝)
- Struts2漏洞
- WebLogic反序列化
- 注意：杀软会拦截部分利用
信息收集：
- 获取命令执行权限后读取密码
- 发现行业OA系统存在SQL注入

0x04 核心系统渗透

4.1 获取的访问权限类型

Web系统：
- 核心业务系统
- 管理后台
远程访问：
- RDP
- SSH
数据库：
- MSSQL
- MySQL

4.2 密码规律发现

大部分密码包含单位名称缩写
其他常见规律：
- 年份+缩写
- 缩写+数字序列

0x05 经验总结

5.1 技术要点

安卓逆向：
- 可Hook发包函数绕过签名
- 需熟悉Android开发环境
内网渗透：
- 警惕态势感知系统
- 代理访问速度慢，TeamViewer是优选
时间管理：
- 外网扫描可能耗时较长(案例中花费一早上)
- 内网信息收集是主要时间消耗点

5.2 防御建议

对外服务：
- 最小化开放端口
- 即使返回404/403也应监控扫描行为
应用安全：
- 加强签名算法保护
- 业务逻辑漏洞测试
内网安全：
- 禁用默认空口令
- 杀软需配置完整防护策略
- 密码避免使用组织缩写等规律
安全运维：
- 及时修补老旧系统(如Windows 2003)
- 建立有效的安全监控机制

0x06 附录：工具与技术参考

扫描工具：
- Masscan (快速扫描)
- Nmap (详细扫描)
漏洞利用：
- MS17-010利用工具
- Struts2漏洞利用工具
- WebLogic反序列化工具
远程控制：
- TeamViewer
- FRP等端口转发工具
参考资源：
- 绕过杀软添加用户：https://xz.aliyun.com/t/4078
- 常见Web漏洞利用方法
- 内网渗透技术指南

通过本案例的学习，可以掌握从外网到内网的完整渗透测试流程，以及在实际环境中可能遇到的各种情况和应对策略。

渗透测试实战教学：从外网到内网的完整渗透过程 0x00 前言本教学文档基于一次真实的渗透测试案例，详细记录了从外网7个IP开始，最终获取内网核心系统的完整过程。文档将按照渗透测试的标准流程进行组织，涵盖信息收集、漏洞利用、横向移动等关键环节。 0x01 信息收集阶段 1.1 初始扫描给定7个外网IP地址作为目标使用端口扫描工具进行初步探测发现开放端口： x.x.x.222:8009 (AJP协议) x.x.x.223:20080 (HTTP) x.x.x.39:8008 (HTTP) 注意事项：初始扫描结果较少时，不要轻易放弃应尝试多种扫描工具和参数组合对于返回404/403的web服务，仍需深入探测 1.2 Web目录发现通过结合命名规律扫描，发现以下有效页面： http://x.x.x.xxx:8888/z1234/ (报名页面，已停用) http://x.x.x.xxx:20080/download/ (文件下载页面) 技巧：使用字典爆破常见目录结构观察网站命名规律(如数字序列) 即使看似无用的页面也可能隐藏漏洞 0x02 漏洞利用阶段 2.1 APP逆向分析发现目标系统有移动APP应用反编译APP发现签名机制关键代码段：攻击方法：分析签名算法逻辑编写脚本模拟签名过程构造恶意数据包绕过验证 2.2 逻辑漏洞利用发现关键参数： amt 参数控制转账金额系统设计缺陷：负数金额可增加余额利用过程：正常转账： amt=-100 (减少100) 修改为： amt=100 (增加100) 系统错误地增加用户余额影响：可无限增加账户余额余额可兑换现金或购买商品 2.3 文件上传获取Webshell 发现文件上传功能绕过限制上传Webshell 成功获取服务器控制权限环境特点：无域环境每台主机都安装杀毒软件之前因安全检查被处罚过 0x03 内网横向移动 3.1 权限维持技巧绕过杀毒软件限制：无法直接添加/删除用户但可以将现有用户(如Guest)加入管理员组参考技术：https://xz.aliyun.com/t/4078 远程控制方案：端口转发到公网上传TeamViewer进行远程控制 TV优化好，网速快适合通过代理访问的场景 3.2 内网扫描与发现扫描策略：使用masscan快速扫描C段批量采集端口信息并分类重点扫描：核心资产常见脆弱端口发现结果：找到Windows Server 2003系统可利用Guest账户空口令登录 Windows 2003默认允许空口令登录 3.3 横向渗透技巧凭证重用：获取的密码在内网其他系统中尝试成功率通常较高漏洞利用： MS17-010 (永恒之蓝) Struts2漏洞 WebLogic反序列化注意：杀软会拦截部分利用信息收集：获取命令执行权限后读取密码发现行业OA系统存在SQL注入 0x04 核心系统渗透 4.1 获取的访问权限类型 Web系统：核心业务系统管理后台远程访问： RDP SSH 数据库： MSSQL MySQL 4.2 密码规律发现大部分密码包含单位名称缩写其他常见规律：年份+缩写缩写+数字序列 0x05 经验总结 5.1 技术要点安卓逆向：可Hook发包函数绕过签名需熟悉Android开发环境内网渗透：警惕态势感知系统代理访问速度慢，TeamViewer是优选时间管理：外网扫描可能耗时较长(案例中花费一早上) 内网信息收集是主要时间消耗点 5.2 防御建议对外服务：最小化开放端口即使返回404/403也应监控扫描行为应用安全：加强签名算法保护业务逻辑漏洞测试内网安全：禁用默认空口令杀软需配置完整防护策略密码避免使用组织缩写等规律安全运维：及时修补老旧系统(如Windows 2003) 建立有效的安全监控机制 0x06 附录：工具与技术参考扫描工具： Masscan (快速扫描) Nmap (详细扫描) 漏洞利用： MS17-010利用工具 Struts2漏洞利用工具 WebLogic反序列化工具远程控制： TeamViewer FRP等端口转发工具参考资源：绕过杀软添加用户：https://xz.aliyun.com/t/4078 常见Web漏洞利用方法内网渗透技术指南通过本案例的学习，可以掌握从外网到内网的完整渗透测试流程，以及在实际环境中可能遇到的各种情况和应对策略。