二层内网渗透靶场
字数 1617 2025-08-29 08:30:13

二层内网渗透靶场实战教学文档

1. 靶场概述

本靶场是一个典型的两层内网渗透环境,包含以下关键组件:

  • 第一层:Weblogic服务器(7001端口)
  • 第二层:MySQL数据库服务器(172.25.20.12)
  • 第三层:Solr服务

2. 第一层渗透:Weblogic攻击

2.1 Weblogic漏洞利用

  1. 识别服务:发现7001端口开放,确认是Weblogic服务
  2. 漏洞利用尝试
    • 初始尝试内存马注入失败(可能由于环境或工具问题)
    • 改用天狐工具箱中的冰蝎3连接成功

2.2 获取第一个flag

  1. 通过冰蝎3连接后,在根目录找到第一个flag
  2. 进行内网信息收集,发现172.25.20.12开放MySQL服务

2.3 获取数据库凭据

  1. 查找Weblogic配置文件
  2. 解密得到MySQL密码:Meetsec#1024

2.4 建立第一层代理

  1. 使用Vshell工具上线
  2. 搭建第一层代理通道

3. 第二层渗透:MySQL数据库攻击

3.1 连接MySQL数据库

  1. 使用获取的凭据连接MySQL
  2. 在数据库中发现第二个flag

3.2 UDF提权

  1. 手动提权
    • 尝试传统UDF提权方法
  2. 使用工具提权
    • 使用MDUT工具进行提权尝试

3.3 文件上传方法

在受限环境中上传文件的技巧:

  1. 常用方法:curlwget
  2. 如果Docker环境缺少这些工具:

3.4 实际文件上传过程

  1. 在第一台机器的/tmp目录启动HTTP服务
  2. 使用Vshell创建正向客户端
  3. 上传文件到/tmp目录
  4. 成功上线

3.5 建立第二层代理

  1. 确认MySQL是Docker环境,缺少许多服务
  2. 搭建第二层代理通道

3.6 受限环境下的IP信息收集技巧

在没有ifconfigip addr的情况下:

  1. 通过Vshell上线时查看本地IP(如172.26.30.4)
  2. 使用fscan -np扫描其他主机信息
  3. 使用hostname -I查看
  4. 使用CDK自带的ifconfig功能

4. 第三层渗透:Solr服务攻击

4.1 发现Solr服务

通过内网信息收集发现存在Solr服务

4.2 Solr常见漏洞

根据经验,Solr常见漏洞是Log4j漏洞

4.3 攻击准备

在MySQL服务器上配置攻击环境:

  1. Java环境配置

    • 下载jdk.tar.gz
    • 不解压执行sh脚本(避免因权限问题失败)
    • 直接解压使用
    • 参考文章:Java环境配置

  2. NC安装

    • 参考文章:NC安装
    • 注意:环境缺少gcc

  3. Python环境

    • 系统自带Python2环境

4.4 Log4j攻击方法

两种主要攻击方式:

方法一:RMI

  1. 用Python2在/tmp目录启动HTTP服务
  2. 上传JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jarjdk/jdk1.8.0_281/bin/
  3. 进行编码攻击
  4. 问题:未看到Python下载文件回显,可能攻击失败

方法二:LDAP

  1. 上传JNDIExploit-1.4-SNAPSHOT.jarjdk/jdk1.8.0_281/bin/
  2. 设置NC监听
  3. 传入攻击载荷
  4. 成功获取shell

5. 关键工具和技术总结

  1. 工具列表

    • 天狐工具箱(含冰蝎3)
    • Vshell(用于代理和文件传输)
    • MDUT(MySQL提权工具)
    • JNDI-Injection-Exploit
    • JNDIExploit

  2. 关键技术点

    • Weblogic漏洞利用
    • MySQL UDF提权
    • 受限环境下的文件传输
    • 多层代理搭建
    • Log4j漏洞利用(RMI/LDAP)
    • 受限环境下的信息收集

  3. 重要凭据

    • MySQL密码:Meetsec#1024

6. 参考资源

  1. MySQL文件写入技巧:链接
  2. Java环境配置:链接
  3. NC安装指南:链接
二层内网渗透靶场实战教学文档 1. 靶场概述 本靶场是一个典型的两层内网渗透环境,包含以下关键组件: 第一层:Weblogic服务器(7001端口) 第二层:MySQL数据库服务器(172.25.20.12) 第三层:Solr服务 2. 第一层渗透:Weblogic攻击 2.1 Weblogic漏洞利用 识别服务 :发现7001端口开放,确认是Weblogic服务 漏洞利用尝试 : 初始尝试内存马注入失败(可能由于环境或工具问题) 改用天狐工具箱中的冰蝎3连接成功 2.2 获取第一个flag 通过冰蝎3连接后,在根目录找到第一个flag 进行内网信息收集,发现172.25.20.12开放MySQL服务 2.3 获取数据库凭据 查找Weblogic配置文件 解密得到MySQL密码: Meetsec#1024 2.4 建立第一层代理 使用Vshell工具上线 搭建第一层代理通道 3. 第二层渗透:MySQL数据库攻击 3.1 连接MySQL数据库 使用获取的凭据连接MySQL 在数据库中发现第二个flag 3.2 UDF提权 手动提权 : 尝试传统UDF提权方法 使用工具提权 : 使用MDUT工具进行提权尝试 3.3 文件上传方法 在受限环境中上传文件的技巧: 常用方法: curl 和 wget 如果Docker环境缺少这些工具: 可通过MySQL的 select 语句写文件 参考文章: MySQL文件写入技巧 3.4 实际文件上传过程 在第一台机器的 /tmp 目录启动HTTP服务 使用Vshell创建正向客户端 上传文件到 /tmp 目录 成功上线 3.5 建立第二层代理 确认MySQL是Docker环境,缺少许多服务 搭建第二层代理通道 3.6 受限环境下的IP信息收集技巧 在没有 ifconfig 和 ip addr 的情况下: 通过Vshell上线时查看本地IP(如172.26.30.4) 使用 fscan -np 扫描其他主机信息 使用 hostname -I 查看 使用CDK自带的 ifconfig 功能 4. 第三层渗透:Solr服务攻击 4.1 发现Solr服务 通过内网信息收集发现存在Solr服务 4.2 Solr常见漏洞 根据经验,Solr常见漏洞是Log4j漏洞 4.3 攻击准备 在MySQL服务器上配置攻击环境: Java环境配置 : 下载jdk.tar.gz 不解压执行sh脚本(避免因权限问题失败) 直接解压使用 参考文章: Java环境配置 NC安装 : 参考文章: NC安装 注意:环境缺少gcc Python环境 : 系统自带Python2环境 4.4 Log4j攻击方法 两种主要攻击方式: 方法一:RMI 用Python2在 /tmp 目录启动HTTP服务 上传 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 到 jdk/jdk1.8.0_281/bin/ 进行编码攻击 问题:未看到Python下载文件回显,可能攻击失败 方法二:LDAP 上传 JNDIExploit-1.4-SNAPSHOT.jar 到 jdk/jdk1.8.0_281/bin/ 设置NC监听 传入攻击载荷 成功获取shell 5. 关键工具和技术总结 工具列表 : 天狐工具箱(含冰蝎3) Vshell(用于代理和文件传输) MDUT(MySQL提权工具) JNDI-Injection-Exploit JNDIExploit 关键技术点 : Weblogic漏洞利用 MySQL UDF提权 受限环境下的文件传输 多层代理搭建 Log4j漏洞利用(RMI/LDAP) 受限环境下的信息收集 重要凭据 : MySQL密码: Meetsec#1024 6. 参考资源 MySQL文件写入技巧: 链接 Java环境配置: 链接 NC安装指南: 链接