Linux内网横向渗透实战教学文档

一、外网打点阶段

1. 信息收集

资产发现：使用工具如fofa、shodan、zoomeye等搜索目标资产
端口扫描：使用nmap进行全端口扫描，识别开放服务
nmap -p- -T4 -A -v target_ip
服务识别：重点关注常见脆弱服务如Web、SSH、RDP、Redis等

2. 漏洞利用

Web应用测试：
- 目录扫描：dirsearch、gobuster
- 漏洞扫描：AWVS、Nessus
- CMS漏洞利用：如ThinkPHP、Struts2等
服务漏洞利用：
- Redis未授权访问
- SSH弱口令爆破
- RDP漏洞如BlueKeep

二、内网横向移动

1. 权限维持

后门植入：
- WebShell上传
- SSH公钥注入
- Cron定时任务
隧道建立：
- frp/ngrok端口转发
- SSH动态端口转发
- ssh -D 1080 user@target -fN

2. 内网信息收集

网络拓扑探测：
- ifconfig/ip a 查看本机IP
- arp -a 查看同网段主机
- netstat -antp 查看网络连接
主机发现：
- nmap -sn 192.168.1.0/24
- fping -g 192.168.1.0/24
密码收集：
- 查看.bash_history
- 查找配置文件中的密码
- 内存密码提取(mimipenguin)

3. Linux系统横向技术

SSH爆破：
- 使用hydra进行爆破
- hydra -l username -P passlist.txt ssh://target_ip
密钥利用：
- 查找~/.ssh/目录下的密钥文件
- 尝试使用找到的密钥连接其他主机
sudo提权：
- sudo -l 查看可用特权命令
- 利用GTFOBins进行提权
漏洞利用：
- 内核漏洞提权(dirtycow, CVE-2021-4034等)
- 服务漏洞如Samba、NFS等

4. 权限提升

常见提权方法：
- SUID权限滥用
- 环境变量劫持
- 计划任务劫持
- 服务配置错误
自动化工具：
- LinPEAS
- Linux Exploit Suggester
- LinEnum

三、痕迹清理

1. 日志清除

系统日志：
- /var/log/auth.log (SSH登录记录)
- /var/log/syslog
- /var/log/messages
Web日志：
- Apache: /var/log/apache2/access.log
- Nginx: /var/log/nginx/access.log
清除方法：
- 直接删除日志文件
- 使用shred安全删除
- 使用sed删除特定行

2. 文件清理

删除上传的工具和脚本
清理.bash_history
删除临时文件

四、防御建议

1. 系统加固

及时更新系统和软件补丁
禁用不必要的服务和端口
配置严格的防火墙规则
使用SSH密钥认证替代密码

2. 监控与检测

部署HIDS如Ossec、Wazuh
监控异常登录行为
定期检查系统日志
使用文件完整性监控

3. 权限管理

遵循最小权限原则
定期审计sudo权限
禁用root远程登录
使用强密码策略

五、工具清单

工具类别	工具名称	用途
信息收集	nmap	端口扫描和服务识别
	masscan	快速端口扫描
漏洞利用	metasploit	综合漏洞利用框架
	searchsploit	本地漏洞搜索
横向移动	crackmapexec	内网横向移动工具
	impacket	协议攻击工具包
权限提升	LinPEAS	Linux提权辅助脚本
	linux-exploit-suggester	内核漏洞建议
隧道工具	chisel	快速建立隧道
	frp	内网穿透工具
密码破解	hashcat	密码破解
	john	密码破解

六、实战技巧

多维度信息收集：不要只依赖自动化工具，手动检查配置文件、历史记录等
低权限持久化：在获取低权限用户后先建立持久化通道，再尝试提权
隐蔽性优先：尽量使用系统自带工具，避免上传过多外部工具触发告警
路径标准化：记录已攻陷主机信息，避免重复操作
备用方案：准备多种横向移动方法，当一种受阻时可快速切换

七、常见问题解决

遇到防护设备：
- 修改工具特征
- 降低扫描速度
- 使用加密隧道
无外网连接：
- 搭建内网代理
- 使用ICMP/DNS隧道
- 利用已有服务如HTTP代理
工具执行失败：
- 检查系统架构
- 尝试静态编译版本
- 使用系统自带替代工具
权限提升受阻：
- 检查内核版本是否匹配
- 尝试多种提权方法
- 从应用层寻找突破口

本教学文档基于实战经验总结，实际渗透测试中请遵守法律法规，获得授权后再进行操作。

Linux内网横向渗透实战教学文档一、外网打点阶段 1. 信息收集资产发现：使用工具如fofa、shodan、zoomeye等搜索目标资产端口扫描：使用nmap进行全端口扫描，识别开放服务 nmap -p- -T4 -A -v target_ip 服务识别：重点关注常见脆弱服务如Web、SSH、RDP、Redis等 2. 漏洞利用 Web应用测试：目录扫描：dirsearch、gobuster 漏洞扫描：AWVS、Nessus CMS漏洞利用：如ThinkPHP、Struts2等服务漏洞利用： Redis未授权访问 SSH弱口令爆破 RDP漏洞如BlueKeep 二、内网横向移动 1. 权限维持后门植入： WebShell上传 SSH公钥注入 Cron定时任务隧道建立： frp/ngrok端口转发 SSH动态端口转发 ssh -D 1080 user@target -fN 2. 内网信息收集网络拓扑探测： ifconfig / ip a 查看本机IP arp -a 查看同网段主机 netstat -antp 查看网络连接主机发现： nmap -sn 192.168.1.0/24 fping -g 192.168.1.0/24 密码收集：查看.bash_ history 查找配置文件中的密码内存密码提取(mimipenguin) 3. Linux系统横向技术 SSH爆破：使用hydra进行爆破 hydra -l username -P passlist.txt ssh://target_ip 密钥利用：查找~/.ssh/目录下的密钥文件尝试使用找到的密钥连接其他主机 sudo提权： sudo -l 查看可用特权命令利用GTFOBins进行提权漏洞利用：内核漏洞提权(dirtycow, CVE-2021-4034等) 服务漏洞如Samba、NFS等 4. 权限提升常见提权方法： SUID权限滥用环境变量劫持计划任务劫持服务配置错误自动化工具： LinPEAS Linux Exploit Suggester LinEnum 三、痕迹清理 1. 日志清除系统日志： /var/log/auth.log (SSH登录记录) /var/log/syslog /var/log/messages Web日志： Apache: /var/log/apache2/access.log Nginx: /var/log/nginx/access.log 清除方法：直接删除日志文件使用 shred 安全删除使用 sed 删除特定行 2. 文件清理删除上传的工具和脚本清理.bash_ history 删除临时文件四、防御建议 1. 系统加固及时更新系统和软件补丁禁用不必要的服务和端口配置严格的防火墙规则使用SSH密钥认证替代密码 2. 监控与检测部署HIDS如Ossec、Wazuh 监控异常登录行为定期检查系统日志使用文件完整性监控 3. 权限管理遵循最小权限原则定期审计sudo权限禁用root远程登录使用强密码策略五、工具清单 | 工具类别 | 工具名称 | 用途 | |---------|---------|------| | 信息收集 | nmap | 端口扫描和服务识别 | | | masscan | 快速端口扫描 | | 漏洞利用 | metasploit | 综合漏洞利用框架 | | | searchsploit | 本地漏洞搜索 | | 横向移动 | crackmapexec | 内网横向移动工具 | | | impacket | 协议攻击工具包 | | 权限提升 | LinPEAS | Linux提权辅助脚本 | | | linux-exploit-suggester | 内核漏洞建议 | | 隧道工具 | chisel | 快速建立隧道 | | | frp | 内网穿透工具 | | 密码破解 | hashcat | 密码破解 | | | john | 密码破解 | 六、实战技巧多维度信息收集：不要只依赖自动化工具，手动检查配置文件、历史记录等低权限持久化：在获取低权限用户后先建立持久化通道，再尝试提权隐蔽性优先：尽量使用系统自带工具，避免上传过多外部工具触发告警路径标准化：记录已攻陷主机信息，避免重复操作备用方案：准备多种横向移动方法，当一种受阻时可快速切换七、常见问题解决遇到防护设备：修改工具特征降低扫描速度使用加密隧道无外网连接：搭建内网代理使用ICMP/DNS隧道利用已有服务如HTTP代理工具执行失败：检查系统架构尝试静态编译版本使用系统自带替代工具权限提升受阻：检查内核版本是否匹配尝试多种提权方法从应用层寻找突破口本教学文档基于实战经验总结，实际渗透测试中请遵守法律法规，获得授权后再进行操作。