内网渗透靶场实战教学文档<\/h1>

1. 靶场环境概述<\/h2>

本次靶场渗透涉及一个复杂的内网环境，包含多个网段和系统类型。主要涉及的技术包括：<\/p>

UAC绕过提权<\/li>
横向移动技术<\/li>
密码哈希抓取与传递<\/li>
数据库漏洞利用<\/li>
域环境渗透<\/li>

零日漏洞利用<\/li> <\/ul>

2. 初始权限提升<\/h2>

2.1 UAC绕过技术<\/h3>

环境条件<\/strong>：Windows 10 1904系统<\/p>

技术原理<\/strong>：<\/p>

某些系统程序(autoElevate属性为True)会静默提升权限而不弹出UAC弹窗<\/li>
利用这些白名单程序执行恶意代码实现权限提升<\/li> <\/ul>
实施步骤<\/strong>：<\/p>

上传bypassuac.exe<\/code>和beacon.exe<\/code>到目标临时目录<\/li>
执行命令：C:\tmp\bypassuac.exe C:\tmp\beacon.exe<\/code><\/li>
连接返回的会话：connect 10.10.10.10<\/code><\/li> <\/ol> 验证方法<\/strong>：<\/p> 执行whoami \/priv<\/code>查看权限<\/li> 提权后会话右上角会有*<\/code>标记<\/li> 能够执行hashdump<\/code>等需要调试权限的操作<\/li> <\/ul> 3. 内网横向移动<\/h2> 3.1 内网探测<\/h3> 从已控主机(10.10.10.10)扫描同网段：<\/p> 发现10.10.10.30开放445端口<\/li> 注意：入站规则限制，初始主机(10.10.10.5)无法直接扫描到<\/li> <\/ul> <\/li> 信息收集：<\/p> tasklist \/svc<\/code>查看进程，发现chrome.exe<\/li> 使用梼杌插件抓取Chrome保存的凭据，获取hack4账号<\/li> <\/ul> <\/li> <\/ol> 3.2 SMB Beacon与PTH攻击<\/h3> 首次尝试失败<\/strong>：<\/p> 创建SMB beacon<\/li> 使用psexec进行PTH(Pass-the-Hash)攻击<\/li> 报错could not upload file:5<\/code>，原因：无法打开匿名管道<\/li> <\/ul> 成功方法<\/strong>：<\/p> 使用管理员账户进行PTH<\/li> 成功获取system权限的beacon<\/li> <\/ul> 发现信息<\/strong>：<\/p> 根目录下发现flag和mysql.txt<\/li> 提示存在MySQL服务(192段)<\/li> <\/ul> 4. MySQL漏洞利用<\/h2> 4.1 漏洞信息<\/h3> 发现CVE-2012-2122(MariaDB\/MySQL认证绕过漏洞)<\/li> 漏洞原理：认证比较逻辑缺陷，约256次尝试可成功一次<\/li> <\/ul> 4.2 利用步骤<\/h3> 使用Navicat尝试连接但未找到flag<\/li> 使用Goby扫描确认漏洞存在<\/li> 执行批量攻击： for<\/span> i in `<\/span>seq 1<\/span> 1000`<\/span>; do<\/span> mysql -uroot -pwrong -h192.168.1.11; done<\/span> <\/span><\/span><\/code><\/pre><\/li> 成功连接后通过SQL查询获取flag<\/li> <\/ol> 5. 多网段渗透<\/h2> 5.1 新网段发现<\/h3> 在10.10.10.30上发现双网卡： 10.10.10.0\/24<\/li> 172.18.50.0\/24<\/li> <\/ul> <\/li> <\/ul> 5.2 新网段扫描<\/h3> 执行扫描命令： portscan 172.18.50.1-255 1-1000,3389,5000-6000 <\/span><\/span><\/code><\/pre><\/li> 发现172.18.50.9开放80端口<\/li> <\/ul> 5.3 通达OA RCE利用<\/h3> 建立socks代理<\/li> 访问发现通达OA系统<\/li> 利用远程命令执行漏洞获取shell<\/li> 在根目录发现flag<\/li> 使用TCP beacon上线<\/li> <\/ol> 6. 域环境渗透<\/h2> 6.1 信息收集<\/h3> 发现处于redteam.com域内<\/li> 初始PTH尝试失败(错误1326：用户名或密码错误)<\/li> <\/ul> 6.2 CVE-2020-1472漏洞利用<\/h3> 配置代理： socks代理 + proxifier本地流量转发<\/li> <\/ul> <\/li> 检测漏洞：确认DC存在CVE-2020-1472(Zerologon)漏洞<\/li> <\/ul> <\/li> 利用步骤：将域控密码置空： python cve-2020-1472-exploit.py DC$ 172.18.50.9 <\/span><\/span><\/code><\/pre><\/li> 使用secretsdump获取哈希： python secretsdump.py redteam\/DC$@172.18.50.9 -no-pass <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 使用获取的管理员hash进行PTH<\/li> 成功上线域控，获取最终flag<\/li> <\/ol> 7. 关键工具与技术总结<\/h2> 工具\/技术<\/th> 用途<\/th> 备注<\/th> <\/tr> <\/thead> bypassuac.exe<\/td> UAC绕过提权<\/td> 针对autoElevate程序<\/td> <\/tr> SMB beacon<\/td> 横向移动<\/td> 需要正确管道权限<\/td> <\/tr> psexec<\/td> 横向移动<\/td> 依赖admin$管道<\/td> <\/tr> secretsdump.py<\/td> 域哈希提取<\/td> Impacket工具集<\/td> <\/tr> CVE-2012-2122<\/td> MySQL认证绕过<\/td> 需要多次尝试<\/td> <\/tr> CVE-2020-1472<\/td> 域控提权<\/td> Zerologon漏洞<\/td> <\/tr> 梼杌插件<\/td> 浏览器凭据提取<\/td> Chrome密码抓取<\/td> <\/tr> <\/tbody> <\/table> 8. 防御建议<\/h2> UAC防护<\/strong>：<\/p> 限制autoElevate程序<\/li> 监控可疑的UAC绕过行为<\/li> <\/ul> <\/li> 横向移动防护<\/strong>：<\/p> 限制SMB匿名访问<\/li> 监控异常的admin$管道访问<\/li> 禁用NTLM或强制使用NTLMv2<\/li> <\/ul> <\/li> 域安全<\/strong>：<\/p> 及时安装Zerologon补丁<\/li> 监控异常的域控认证尝试<\/li> 启用SACL审计关键域对象<\/li> <\/ul> <\/li> 数据库安全<\/strong>：<\/p> 及时更新MySQL\/MariaDB<\/li> 限制远程root登录<\/li> 启用失败登录锁定<\/li> <\/ul> <\/li> 应用安全<\/strong>：<\/p> 及时更新OA系统<\/li> 监控Web应用的命令执行行为<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> <\/ol>

工具\/技术<\/th>	用途<\/th>	备注<\/th> <\/tr> <\/thead>
bypassuac.exe<\/td>	UAC绕过提权<\/td>	针对autoElevate程序<\/td> <\/tr>
SMB beacon<\/td>	横向移动<\/td>	需要正确管道权限<\/td> <\/tr>
psexec<\/td>	横向移动<\/td>	依赖admin$管道<\/td> <\/tr>
secretsdump.py<\/td>	域哈希提取<\/td>	Impacket工具集<\/td> <\/tr>
CVE-2012-2122<\/td>	MySQL认证绕过<\/td>	需要多次尝试<\/td> <\/tr>
CVE-2020-1472<\/td>	域控提权<\/td>	Zerologon漏洞<\/td> <\/tr>
梼杌插件<\/td>	浏览器凭据提取<\/td>	Chrome密码抓取<\/td> <\/tr> <\/tbody> <\/table> 8. 防御建议<\/h2> UAC防护<\/strong>：<\/p> 限制autoElevate程序<\/li> 监控可疑的UAC绕过行为<\/li> <\/ul> <\/li> 横向移动防护<\/strong>：<\/p> 限制SMB匿名访问<\/li> 监控异常的admin$管道访问<\/li> 禁用NTLM或强制使用NTLMv2<\/li> <\/ul> <\/li> 域安全<\/strong>：<\/p> 及时安装Zerologon补丁<\/li> 监控异常的域控认证尝试<\/li> 启用SACL审计关键域对象<\/li> <\/ul> <\/li> 数据库安全<\/strong>：<\/p> 及时更新MySQL\/MariaDB<\/li> 限制远程root登录<\/li> 启用失败登录锁定<\/li> <\/ul> <\/li> 应用安全<\/strong>：<\/p> 及时更新OA系统<\/li> 监控Web应用的命令执行行为<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> <\/ol>