内网渗透实战全流程技术指南<\/h1>

一、环境搭建<\/h2>

本次渗透测试环境由三台服务器组成，网络配置如下：<\/p>

Web端服务器<\/strong>：双网卡配置

外网IP：192.168.3.143<\/li>
内网IP：10.10.10.101<\/li> <\/ul> <\/li>
PC端<\/strong>：内网IP 10.10.10.141<\/li>
域控制器(DC)<\/strong>：内网IP 10.10.10.10<\/li> <\/ul>
二、外网信息收集阶段<\/h2>
1. 端口扫描<\/h3>
使用Nmap等工具对目标外网IP(192.168.3.143)进行全端口扫描，识别开放服务。<\/p>
2. 目录扫描<\/h3>
使用dirsearch工具进行Web目录扫描，发现关键后台路径：<\/p>

发现phpMyAdmin管理后台存在<\/li> <\/ul>
3. 弱口令利用<\/h3>

尝试常见弱口令组合(如admin\/admin等)成功登录phpMyAdmin<\/li>
利用文件写入漏洞获取Webshell<\/li> <\/ul>
三、内网渗透阶段<\/h2>
1. 内网信息收集<\/h3>

上传fscan工具进行内网扫描<\/li>
发现内网存在phpMyAdmin服务<\/li> <\/ul>
2. phpMyAdmin获取Shell技术<\/h3>
通过未授权写入操作获取Shell，关键点：<\/p>

文件写入路径：C:\phpstudy_pro\Extensions\MySQL5.7.26\<\/li>
secure_file_priv参数影响：

"null"：禁止读取任意文件<\/li>
"空"：允许读取任意文件<\/li>
指定路径：仅允许读取指定路径文件<\/li> <\/ul> <\/li> <\/ul>
日志写入Webshell方法<\/strong>：<\/p>
SET<\/span> global<\/span> general_log =<\/span> "ON"<\/span>; <\/span><\/span>SET<\/span> global<\/span> general_log_file=<\/span>'C:\/phpstudy_pro\/www\/shell1.php'<\/span>; <\/span><\/span><\/code><\/pre>3. 网段扫描与漏洞发现<\/h3> 扫描发现MS17-010(永恒之蓝)漏洞<\/li> 识别域环境机器<\/li> <\/ul> 四、代理搭建技术<\/h2> 1. 工具代理<\/h3> reGeorg<\/strong>： python reGeorgSocksProxy.py -p 8080<\/span> -u http:\/\/upload.sensepost.net:8080\/tunnel\/tunnel.jsp <\/span><\/span><\/code><\/pre><\/li> Neo-reGeorg<\/strong>： python neoreg.py -u http:\/\/192.168.163.138\/www.yxcms6.com\/protected\/apps\/default\/view\/default\/tunnel.php --proxy socks5:\/\/10.1.1.1:8888 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. 毒刺代理<\/h3> 服务端(Windows)<\/strong>： start D:\/XXX\/stinger_server.exe 0.0.0.0 <\/span><\/span><\/code><\/pre><\/li> 客户端(VPS)<\/strong>： .\/stinger_client -w http:\/\/192.168.163.138\/www.yxcms6.com\/protected\/apps\/default\/view\/default\/proxy.php -l 127.0.0.1 -p 60000<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 哥斯拉内置代理<\/h3> 直接使用哥斯拉工具的内置代理功能<\/p> 4. FRP代理<\/h3> VPS服务端配置<\/li> Webshell客户端配置<\/li> <\/ul> 五、Cobalt Strike与Metasploit协同渗透<\/h2> 1. MSF基础配置<\/h3> 在msfconsole中进行必要的基础配置<\/p> 2. MSF代理搭建<\/h3> 将哥斯拉的Shell转移到MSF，利用MSF搭建代理通道<\/p> 3. 永恒之蓝攻击<\/h3> 使用MSF的exploit\/windows\/smb\/ms17_010_eternalblue模块进行攻击<\/p> 4. MSF与CS会话转换<\/h3> 将MSF获取的会话转移到Cobalt Strike，实现CS上线<\/p> 六、Cobalt Strike深度渗透<\/h2> 1. 信息收集<\/h3> 获取域内管理员账号<\/li> 识别域环境：god.org<\/li> 定位域控服务器<\/li> <\/ul> 2. 权限提升<\/h3> 使用CS内置功能进行权限提升，获取管理员权限<\/p> 3. Hash抓取与横向移动<\/h3> 抓取NTLM Hash<\/li> 使用Pass-the-Hash技术进行横向渗透<\/li> 成功获取AD域控和另一台域内主机权限<\/li> <\/ul> 七、MSF后续渗透<\/h2> 1. 代理与信息收集<\/h3> 设置socks代理<\/li> 进行更深层的信息收集<\/li> 发现其他内网主机<\/li> <\/ul> 2. RDP代理与攻击<\/h3> 搭建RDP代理通道<\/li> 利用永恒之蓝漏洞进行横向移动<\/li> 成功登录Windows Server 2012<\/li> 最终获取Active Directory域控权限<\/li> <\/ul> 关键工具清单<\/h2> 端口扫描：Nmap<\/li> 目录扫描：dirsearch<\/li> 内网扫描：fscan<\/li> 代理工具：reGeorg\/Neo-reGeorg、毒刺、FRP<\/li> 渗透框架：Cobalt Strike、Metasploit<\/li> WebShell管理：哥斯拉<\/li> <\/ol> 防御建议<\/h2> 禁用phpMyAdmin外网访问<\/li> 设置强密码策略<\/li> 及时修补MS17-010等已知漏洞<\/li> 限制数据库文件操作权限(secure_file_priv)<\/li> 监控异常日志操作<\/li> 实施网络分段隔离<\/li> <\/ol>

内网渗透实战全流程技术指南<\/h1>

二、外网信息收集阶段<\/h2>

1. 端口扫描<\/h3> 使用Nmap等工具对目标外网IP(192.168.3.143)进行全端口扫描，识别开放服务。<\/p>

三、内网渗透阶段<\/h2>

四、代理搭建技术<\/h2>

3. 哥斯拉内置代理<\/h3> 直接使用哥斯拉工具的内置代理功能<\/p>

五、Cobalt Strike与Metasploit协同渗透<\/h2>

1. MSF基础配置<\/h3> 在msfconsole中进行必要的基础配置<\/p>

2. MSF代理搭建<\/h3> 将哥斯拉的Shell转移到MSF，利用MSF搭建代理通道<\/p>

3. 永恒之蓝攻击<\/h3> 使用MSF的exploit\/windows\/smb\/ms17_010_eternalblue模块进行攻击<\/p>

4. MSF与CS会话转换<\/h3> 将MSF获取的会话转移到Cobalt Strike，实现CS上线<\/p>

六、Cobalt Strike深度渗透<\/h2>

2. 权限提升<\/h3> 使用CS内置功能进行权限提升，获取管理员权限<\/p>

七、MSF后续渗透<\/h2>

防御建议<\/h2> 禁用phpMyAdmin外网访问<\/li> 设置强密码策略<\/li> 及时修补MS17-010等已知漏洞<\/li> 限制数据库文件操作权限(secure_file_priv)<\/li> 监控异常日志操作<\/li> 实施网络分段隔离<\/li> <\/ol>

1. 端口扫描<\/h3>
使用Nmap等工具对目标外网IP(192.168.3.143)进行全端口扫描，识别开放服务。<\/p>

3. 哥斯拉内置代理<\/h3>
直接使用哥斯拉工具的内置代理功能<\/p>

1. MSF基础配置<\/h3>
在msfconsole中进行必要的基础配置<\/p>

2. MSF代理搭建<\/h3>
将哥斯拉的Shell转移到MSF，利用MSF搭建代理通道<\/p>

3. 永恒之蓝攻击<\/h3>
使用MSF的exploit\/windows\/smb\/ms17_010_eternalblue模块进行攻击<\/p>

4. MSF与CS会话转换<\/h3>
将MSF获取的会话转移到Cobalt Strike，实现CS上线<\/p>

2. 权限提升<\/h3>
使用CS内置功能进行权限提升，获取管理员权限<\/p>

防御建议<\/h2>

禁用phpMyAdmin外网访问<\/li>
设置强密码策略<\/li>
及时修补MS17-010等已知漏洞<\/li>
限制数据库文件操作权限(secure_file_priv)<\/li>
监控异常日志操作<\/li>
实施网络分段隔离<\/li> <\/ol>