内网渗透靶场实战教学文档

内网渗透靶场实战教学文档 1. 靶场环境概述 本次靶场渗透涉及一个复杂的内网环境，包含多个网段和系统类型。主要涉及的技术包括： UAC绕过提权 横向移动技术 密码哈希抓取与传递 数据库漏洞利用 域环境渗透 零日漏洞利用 2. 初始权限提升 2.1 UAC绕过技术 环境条件 ：Windows 10 1904系统 技术原理 ： 某些系统程序(autoElevate属性为True)会静默提升权限而不弹出UAC弹窗 利用这些白名单程序执行恶意代码实现权限提升 实施步骤 ： 上传 bypassuac.exe 和 beacon.exe 到目标临时目录 执行命令： C:\tmp\bypassuac.exe C:\tmp\beacon.exe 连接返回的会话： connect 10.10.10.10 验证方法 ： 执行 whoami /priv 查看权限 提权后会话右上角会有 * 标记 能够执行 hashdump 等需要调试权限的操作 3. 内网横向移动 3.1 内网探测 从已控主机(10.10.10.10)扫描同网段： 发现10.10.10.30开放445端口 注意：入站规则限制，初始主机(10.10.10.5)无法直接扫描到 信息收集： tasklist /svc 查看进程，发现chrome.exe 使用梼杌插件抓取Chrome保存的凭据，获取hack4账号 3.2 SMB Beacon与PTH攻击 首次尝试失败 ： 创建SMB beacon 使用psexec进行PTH(Pass-the-Hash)攻击 报错 could not upload file:5 ，原因：无法打开匿名管道 成功方法 ： 使用管理员账户进行PTH 成功获取system权限的beacon 发现信息 ： 根目录下发现flag和mysql.txt 提示存在MySQL服务(192段) 4. MySQL漏洞利用 4.1 漏洞信息 发现CVE-2012-2122(MariaDB/MySQL认证绕过漏洞) 漏洞原理：认证比较逻辑缺陷，约256次尝试可成功一次 4.2 利用步骤 使用Navicat尝试连接但未找到flag 使用Goby扫描确认漏洞存在 执行批量攻击： 成功连接后通过SQL查询获取flag 5. 多网段渗透 5.1 新网段发现 在10.10.10.30上发现双网卡： 10.10.10.0/24 172.18.50.0/24 5.2 新网段扫描 执行扫描命令： 发现172.18.50.9开放80端口 5.3 通达OA RCE利用 建立socks代理 访问发现通达OA系统 利用远程命令执行漏洞获取shell 在根目录发现flag 使用TCP beacon上线 6. 域环境渗透 6.1 信息收集 发现处于redteam.com域内 初始PTH尝试失败(错误1326：用户名或密码错误) 6.2 CVE-2020-1472漏洞利用 配置代理： socks代理 + proxifier本地流量转发 检测漏洞： 确认DC存在CVE-2020-1472(Zerologon)漏洞 利用步骤： 将域控密码置空： 使用secretsdump获取哈希： 使用获取的管理员hash进行PTH 成功上线域控，获取最终flag 7. 关键工具与技术总结 | 工具/技术 | 用途 | 备注 | |-----------|------|------| | bypassuac.exe | UAC绕过提权 | 针对autoElevate程序 | | SMB beacon | 横向移动 | 需要正确管道权限 | | psexec | 横向移动 | 依赖admin$管道 | | secretsdump.py | 域哈希提取 | Impacket工具集 | | CVE-2012-2122 | MySQL认证绕过 | 需要多次尝试 | | CVE-2020-1472 | 域控提权 | Zerologon漏洞 | | 梼杌插件 | 浏览器凭据提取 | Chrome密码抓取 | 8. 防御建议 UAC防护 ： 限制autoElevate程序 监控可疑的UAC绕过行为 横向移动防护 ： 限制SMB匿名访问 监控异常的admin$管道访问 禁用NTLM或强制使用NTLMv2 域安全 ： 及时安装Zerologon补丁 监控异常的域控认证尝试 启用SACL审计关键域对象 数据库安全 ： 及时更新MySQL/MariaDB 限制远程root登录 启用失败登录锁定 应用安全 ： 及时更新OA系统 监控Web应用的命令执行行为 实施最小权限原则