【实战2】记一次获取远程桌面历程
字数 1282 2025-08-26 22:11:23

渗透测试实战:获取远程桌面权限全流程教学

0x00 前言

本文详细记录了一次完整的渗透测试过程,从后台入侵到最终获取远程桌面权限的全流程。包含万能密码利用、WebShell上传、端口转发和内网横向移动等技术要点。

0x01 后台入侵

1.1 发现后台入口

  • 目标网站后台路径:/admin/
  • 尝试使用万能密码绕过认证

1.2 万能密码利用

  • 常见万能密码示例:
    • admin' or '1'='1
    • admin'--
    • admin'/*
  • 本案例中直接使用万能密码成功登录后台

0x02 WebShell上传与连接

2.1 寻找上传点

  • 在后台功能中寻找文件上传功能
  • 发现仅允许上传.jpg图片文件

2.2 绕过上传限制

  1. 准备图片马(将PHP代码嵌入图片中)
  2. 使用Burp Suite拦截上传请求
  3. 修改文件后缀为.php(如1.jpg改为1.php
  4. 成功上传并获取文件路径

2.3 WebShell连接尝试

  1. 首次尝试连接中国菜刀失败(被杀毒软件拦截)
  2. 上传免杀大马:
    • 可执行whoami命令
    • 但其他命令执行受限
  3. 上传免杀小马成功:
    • 小马体积小,特征少,更容易免杀
    • 最终成功连接中国菜刀

0x03 内网探测与端口转发

3.1 内网探测

  • 执行命令发现内网3389端口开放
  • 目标内网IP:192.168.2.57

3.2 端口转发配置

使用Windows自带netsh工具实现端口转发:

:: 允许防火墙通过6666端口
netsh advfirewall firewall add rule name="winmgmt" dir=in action=allow protocol=TCP localport=6666

:: 设置端口转发规则
netsh interface portproxy add v4tov4 listenport=6666 connectaddress=192.168.2.57 connectport=3389

3.3 远程桌面连接

  1. 添加用户并提权: 
    net user PaperPen Password123! /add
net localgroup administrators PaperPen /add
  2. 通过公网IP的6666端口连接远程桌面:
    • 连接地址:公网IP:6666
    • 使用新建的凭证登录

0x04 权限维持与信息收集

4.1 获取系统Hash值

  1. 使用mimikatz工具读取系统Hash 
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
  2. 获取到的Hash值包括:
    • LM Hash
    • NTLM Hash
    • 可能包含明文密码

4.2 注册表信息收集

  • 导出SAM和SYSTEM文件: 
    reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive
  • 可用于离线破解Hash

0x05 总结与思考

5.1 渗透流程总结

  1. 后台万能密码绕过
  2. 文件上传绕过限制
  3. WebShell免杀与连接
  4. 内网端口转发
  5. 远程桌面连接
  6. Hash获取与破解尝试

5.2 防御建议

  1. 后台登录:

    • 禁用万能密码
    • 实施强密码策略
    • 启用二次验证

  2. 文件上传:

    • 严格限制上传文件类型
    • 检查文件内容而不仅是扩展名
    • 上传文件隔离执行

  3. 系统安全:

    • 限制内网端口暴露
    • 监控异常端口转发行为
    • 定期更新补丁

  4. 权限管理:

    • 限制管理员权限
    • 监控异常用户创建
    • 启用日志审计

5.3 后续思考

  • Hash破解方法:

    • 使用Hashcat或John the Ripper进行暴力破解
    • 尝试彩虹表攻击
    • 密码喷洒攻击(Password Spraying)

  • 横向移动可能性:

    • 利用获取的凭证尝试内网其他主机
    • 查找域环境进行域渗透

附录:常用工具列表

  1. WebShell管理:

    • 中国菜刀
    • AntSword
    • Behinder

  2. 端口转发:

    • netsh(Windows自带)
    • lcx
    • frp

  3. 密码提取:

    • mimikatz
    • wce
    • pwdump

  4. Hash破解:

    • Hashcat
    • John the Ripper
    • RainbowCrack
渗透测试实战:获取远程桌面权限全流程教学 0x00 前言 本文详细记录了一次完整的渗透测试过程,从后台入侵到最终获取远程桌面权限的全流程。包含万能密码利用、WebShell上传、端口转发和内网横向移动等技术要点。 0x01 后台入侵 1.1 发现后台入口 目标网站后台路径: /admin/ 尝试使用万能密码绕过认证 1.2 万能密码利用 常见万能密码示例: admin' or '1'='1 admin'-- admin'/* 本案例中直接使用万能密码成功登录后台 0x02 WebShell上传与连接 2.1 寻找上传点 在后台功能中寻找文件上传功能 发现仅允许上传 .jpg 图片文件 2.2 绕过上传限制 准备图片马(将PHP代码嵌入图片中) 使用Burp Suite拦截上传请求 修改文件后缀为 .php (如 1.jpg 改为 1.php ) 成功上传并获取文件路径 2.3 WebShell连接尝试 首次尝试连接中国菜刀失败(被杀毒软件拦截) 上传免杀大马: 可执行 whoami 命令 但其他命令执行受限 上传免杀小马成功: 小马体积小,特征少,更容易免杀 最终成功连接中国菜刀 0x03 内网探测与端口转发 3.1 内网探测 执行命令发现内网3389端口开放 目标内网IP: 192.168.2.57 3.2 端口转发配置 使用Windows自带netsh工具实现端口转发: 3.3 远程桌面连接 添加用户并提权: 通过公网IP的6666端口连接远程桌面: 连接地址: 公网IP:6666 使用新建的凭证登录 0x04 权限维持与信息收集 4.1 获取系统Hash值 使用mimikatz工具读取系统Hash 获取到的Hash值包括: LM Hash NTLM Hash 可能包含明文密码 4.2 注册表信息收集 导出SAM和SYSTEM文件: 可用于离线破解Hash 0x05 总结与思考 5.1 渗透流程总结 后台万能密码绕过 文件上传绕过限制 WebShell免杀与连接 内网端口转发 远程桌面连接 Hash获取与破解尝试 5.2 防御建议 后台登录: 禁用万能密码 实施强密码策略 启用二次验证 文件上传: 严格限制上传文件类型 检查文件内容而不仅是扩展名 上传文件隔离执行 系统安全: 限制内网端口暴露 监控异常端口转发行为 定期更新补丁 权限管理: 限制管理员权限 监控异常用户创建 启用日志审计 5.3 后续思考 Hash破解方法: 使用Hashcat或John the Ripper进行暴力破解 尝试彩虹表攻击 密码喷洒攻击(Password Spraying) 横向移动可能性: 利用获取的凭证尝试内网其他主机 查找域环境进行域渗透 附录:常用工具列表 WebShell管理: 中国菜刀 AntSword Behinder 端口转发: netsh(Windows自带) lcx frp 密码提取: mimikatz wce pwdump Hash破解: Hashcat John the Ripper RainbowCrack