某内部渗透测试竞赛全流程技术复盘与教学<\/strong><\/h2>
文档说明<\/strong>：本文档旨在对一次综合性的内部渗透测试竞赛进行技术复盘，将参赛者的笔记整理成系统性的教学材料。内容涵盖了从外网入口点获取、权限提升、内网横向移动、到最终获取所有Flag的完整过程。每个步骤都包含漏洞原理、利用方法和关键命令，是学习现代网络渗透技术的优秀案例。<\/p>
一、环境概览与攻击路径总览<\/strong><\/h3>
本次竞赛模拟了一个复杂的企业内网环境，包含多个网段：<\/p>

入口网段<\/strong>： 10.10.10.*<\/code><\/li>
内部网段A<\/strong>： 192.168.10.*<\/code> （通过VPN接入）<\/li>
内部网段B<\/strong>： 192.168.30.*<\/code> （深度内网）<\/li> <\/ul> 攻击路径可以概括为：<\/p> 突破边界<\/strong>：从外网入口机 (10.10.10.xx<\/code>) 利用Spring Boot Actuator未授权访问漏洞获取初始立足点。<\/li> 内网横向移动<\/strong>：以入口机为跳板，扫描10.10.10.0\/24<\/code>网段，攻击多个内部服务。<\/li> 穿透VPN<\/strong>：在内部服务器上获取VPN配置文件，接入更核心的192.168.10.0\/24<\/code>网段。<\/li> 深度渗透<\/strong>：在192.168.10.0\/24<\/code>网段获取关键源代码，反向利用于其他系统，并进一步搭建隧道进入最内层的192.168.30.0\/24<\/code>网段。<\/li> 终极目标<\/strong>：在最内网网段通过数据库漏洞、UDF提权、主从复制等多种技术获取最终权限。<\/li> <\/ol> 二、分阶段详细技术解析<\/strong><\/h3> 阶段一：外网突破 (入口机 - 10.10.10.xx<\/code>)<\/strong><\/h4> 1. 信息收集与Flag1获取<\/strong><\/p> 技术点<\/strong>：最基本的Web信息收集。<\/li> 操作<\/strong>：访问入口机Web服务，右键查看网页源代码。<\/li> 结果<\/strong>：在源代码中直接发现Flag1<\/strong>。这提示我们，任何看似简单的地方都可能存在关键信息。<\/li> <\/ul> 2. 关键漏洞利用 - Spring Boot Actuator堆转储泄露<\/strong><\/p> 漏洞原理<\/strong>： Spring Boot Actuator是一个用于监控和管理应用的生产级功能模块。如果配置不当（如未设置访问认证），攻击者可以访问其众多端点，其中 \/actuator\/heapdump<\/code> 会生成当前JVM的内存堆转储文件。该文件包含应用运行时的大量敏感信息，如数据库连接密码、加密密钥、用户会话等。<\/li> 操作<\/strong>：直接访问URL： http:\/\/<入口机IP>\/actuator\/heapdump<\/code>，下载生成的 .hprof<\/code> 文件。<\/li> 使用专业工具（如Eclipse MAT, JVisualVM）分析该堆转储文件。<\/li> <\/ol> <\/li> 结果<\/strong>：成功从内存中提取出 Shiro框架的加密密钥<\/strong>。Apache Shiro是一个Java安全框架，其RememberMe功能使用AES加密，如果密钥泄露，攻击者可以伪造任何用户的Cookie，实现身份认证绕过。<\/li> 同时获得了数据库等组件的凭证。<\/li> <\/ul> <\/li> <\/ul> 3. 权限维持 - 内存马注入<\/strong><\/p> 技术点<\/strong>：内存马（Memory Shell）是一种无文件落地的新型Webshell技术。它将恶意后门代码直接注入到Web服务器（如Tomcat, Jetty）的运行内存中，从而实现对服务器的控制。重启后失效，但极难被传统安全设备检测。<\/li> 操作<\/strong>：利用泄露的Shiro密钥，构造恶意RememberMe Cookie，通过Shiro反序列化漏洞执行代码。<\/li> 将内存马（如Filter型、Servlet型、Controller型内存马）注入到目标应用中。<\/li> 使用哥斯拉<\/strong> 等支持内存马管理的Webshell管理工具进行连接。<\/li> <\/ol> <\/li> 结果<\/strong>：获得了一个稳定的、无需写入文件系统的Webshell控制权限。<\/li> <\/ul> 4. Flag2与Flag4获取<\/strong><\/p> 操作<\/strong>：通过已获得的Webshell，在服务器文件系统上进行探索。<\/li> 结果<\/strong>：在网站根目录下找到 Flag2<\/strong>。<\/li> 在根目录下的 start.sh<\/code> 脚本中，发现了root用户的凭据（用户名\/密码）和 Flag4<\/strong>。<\/li> 替代方案<\/em>：使用从堆转储中泄露的数据库凭证直接登录数据库，也能查询到Flag4。<\/li> <\/ul> <\/li> <\/ul> 阶段二：内网横向移动 (10.10.10.0\/24<\/code>)<\/strong><\/h4> 1. 网络探测与隧道搭建<\/strong><\/p> 挑战<\/strong>：入口机可能缺乏基本的网络探测命令（如 ifconfig<\/code>, ip addr<\/code>）。<\/li> 解决方案<\/strong>：利用哥斯拉自带的“命令执行”或“文件管理”功能，上传轻量级的内网扫描工具，如 fscan<\/strong>。<\/li> 使用工具进行存活主机和端口扫描。<\/li> <\/ol> <\/li> 关键命令（fscan示例）<\/strong>: .\/fscan -h 10.10.10.1\/24 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. 攻击目标1 - 10.10.10.34<\/code><\/strong><\/p> 发现<\/strong>：该主机存在类似漏洞。<\/li> 挑战<\/strong>：打入内存马后无法连接。<\/li> 分析与利用<\/strong>：判断其使用了Spring Boot默认的 secret.key<\/code> 进行JWT签名。<\/li> JWT是一种用于创建访问令牌的开放标准。如果签名密钥薄弱或泄露，攻击者可以伪造令牌身份。<\/li> 使用专门的JWT攻击工具（如 jwt_tool<\/code>）进行密钥爆破或伪造。<\/li> <\/ol> <\/li> 结果<\/strong>：成功伪造JWT Token，获取系统权限，并找到 Flag3<\/strong>。<\/li> <\/ul> 3. 攻击目标2 - 10.10.10.78<\/code><\/strong><\/p> 信息收集<\/strong>：发现该服务使用了Druid数据库连接池。<\/li> 漏洞利用<\/strong>： Druid的监控页面可能泄露敏感信息。检查配置文件 application-druid.yml<\/code>。<\/li> 结果<\/strong>：在该配置文件中直接找到了数据库的用户名和密码。<\/li> 操作<\/strong>：使用获得的凭证连接数据库。<\/li> 结果<\/strong>：在数据库中查询到 Flag5<\/strong>。<\/li> <\/ul> 4. 权限提升 - Flag6获取 (UDF提权)<\/strong><\/p> 技术点<\/strong>： UDF提权是利用MySQL数据库的功能，通过编写一个自定义函数（UDF），并将其共享库文件（.so或.dll）植入系统，从而以数据库进程（通常是高权限的mysql<\/code>或root<\/code>用户）身份执行系统命令。<\/li> 操作尝试1（失败）<\/strong>：使用自动化工具MDUT<\/strong>直接攻击，但遇到报错。<\/li> 操作尝试2（成功）<\/strong>：使用 Metasploit Framework<\/strong> 的 exploit\/multi\/mysql\/mysql_udf_payload<\/code> 模块。<\/li> 配置好数据库连接信息后，执行攻击。虽然可能没有直接返回Shell，但恶意 .so<\/code> 文件被成功写入数据库插件目录。<\/li> 由于靶机出网，直接使用MSF生成反向Shell的Payload，通过UDF执行该Payload。<\/li> <\/ol> <\/li> 关键命令（MSF）<\/strong>: use exploit\/multi\/mysql\/mysql_udf_payload <\/span><\/span>set rhosts 10.10.10.78 <\/span><\/span>set username <数据库用户名> <\/span><\/span>set password <数据库密码> <\/span><\/span>exploit <\/span><\/span><\/code><\/pre><\/li> 结果<\/strong>：成功获得一个反向连接的高权限Shell，并在系统上找到 Flag6<\/strong>。<\/li> <\/ul> 阶段三：深入核心内网 (192.168.10.0\/24<\/code>)<\/strong><\/h4> 1. VPN接入与路由配置<\/strong><\/p> 关键资产<\/strong>：在 10.10.10.34<\/code> 上找到了一个VPN客户端配置文件（如 .ovpn<\/code> 文件）。<\/li> 操作<\/strong>：下载该VPN配置文件到攻击者本地机器。<\/li> 使用OpenVPN连接该VPN： sudo openvpn client.ovpn<\/code>。<\/li> 连接后，手动添加路由，使攻击机能够路由到 192.168.10.0\/24<\/code> 网段。<\/li> <\/ol> <\/li> 关键命令（Linux添加路由）<\/strong>: sudo ip route add 192.168.10.0\/24 dev <VPN创建的虚拟网卡，如tun0> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. 目标 - 192.168.10.100<\/code> (Flag7)<\/strong><\/p> 信息关联<\/strong>：在入口机的数据库中发现了一个加盐的Hash值。在入口机根目录下发现了 ruoyi-admin.jar<\/code>（若依后台管理系统）。<\/li> 技术点<\/strong>：代码审计与密码破解。<\/li> 操作<\/strong>：使用JD-GUI等工具反编译 ruoyi-admin.jar<\/code>。<\/li> 审计源代码，分析其密码加密逻辑。复盘记录中提及加密方式为 md5(login_name + passwd + salt)<\/code>。<\/li> 根据此逻辑，编写脚本生成特定用户的密码字典。<\/li> 使用Hashcat或John the Ripper等工具，利用生成的字典进行爆破。<\/li> <\/ol> <\/li> 结果<\/strong>：成功破解Hash，获得某个系统的有效凭证，进而获取 Flag7<\/strong>。<\/li> <\/ul> 3. 目标 - 192.168.10.21<\/code> (Flag8)<\/strong><\/p> 发现<\/strong>：该主机存在FTP服务，并且凭证泄露。<\/li> 操作<\/strong>：使用泄露的凭证登录FTP，下载了三个文件，其中包括 web.zip<\/code>（工资查询系统源代码）。<\/li> 结果<\/strong>：获得 Flag8<\/strong>。<\/li> <\/ul> 4. 代码审计与RCE - 10.10.10.56<\/code> (Flag9)<\/strong><\/p> 漏洞挖掘<\/strong>：对下载的 web.zip<\/code> 进行代码审计。在 TbadminController.php<\/code> 中发现危险函数 shell_exec<\/code> 被直接用于执行用户输入，且无任何过滤。<\/li> 漏洞利用<\/strong>：使用管道符 |<\/code> 或分号 ;<\/code> 绕过可能的简单限制，执行系统命令。<\/li> POC示例<\/strong>: http:\/\/10.10.10.56\/vuln.php?cmd=; whoami <\/code><\/pre> <\/li> 结果<\/strong>：成功实现远程代码执行，获取 Flag9<\/strong>。<\/li> <\/ul> 阶段四：终极内网突破 (192.168.30.0\/24<\/code>)<\/strong><\/h4> 1. 目标 - 10.10.10.200<\/code> (Flag10 & Flag11)<\/strong><\/p> 操作<\/strong>：利用已知漏洞获取Webshell，但写入的Webshell连接不稳定。<\/li> 解决方案<\/strong>：手动编写一个简单的Webshell并编码（如Base64），然后通过RCE漏洞解码写入。<\/li> 结果<\/strong>：在根目录下找到 Flag10<\/strong> 和 Flag11<\/strong>。<\/li> <\/ul> 2. 目标 - 192.168.30.22<\/code> (Flag12)<\/strong><\/p> 操作<\/strong>：常规渗透，获得系统凭据。<\/li> 结果<\/strong>：使用凭据登录系统，找到 Flag12<\/strong>。<\/li> <\/ul> 3. 目标 - 192.168.30.65<\/code> (Flag13 & Flag14)<\/strong><\/p> 信息泄露<\/strong>：在Nacos（一个动态服务发现、配置和管理平台）的 application-druid.yml<\/code> 配置文件中，发现了Redis数据库的凭据。<\/li> Redis漏洞利用 - 主从复制RCE<\/strong>: 原理<\/strong>：攻击者将自己的Redis服务器设置为目标Redis的从库。然后将一个恶意的 .so<\/code> 模块文件内容通过主从复制同步到目标Redis，并加载该模块，从而实现RCE。<\/li> 操作<\/strong>：使用工具如 redis-rogue-server<\/code> 或 RedisModulesRCE<\/code> 进行自动化攻击。<\/li> 挑战<\/strong>：复盘中提到此方法未成功，可能是靶机环境限制。这体现了渗透测试中技术尝试的多样性。<\/li> <\/ul> <\/li> 结果<\/strong>：获得 Flag13<\/strong>。Flag14（主从复制）未成功。<\/li> <\/ul> 4. 目标 - 192.168.30.75<\/code> (Flag15)<\/strong><\/p> 密码学挑战<\/strong>：从FTP下载的文件中有一个 LittleSecret.py<\/code> 脚本，这是一个自定义的加密\/解密算法。<\/li> 操作<\/strong>：分析 LittleSecret.py<\/code> 的加密逻辑。<\/li> 编写对应的解密脚本，或将代码喂给AI辅助生成解密脚本。<\/li> <\/ol> <\/li> 结果<\/strong>：成功解密出字符串 Z%Qb2$h@sazKEn#<\/code>，此即为最终的 Flag15<\/strong>。<\/li> <\/ul> 三、总结与核心知识点<\/strong><\/h3> 本次竞赛复盘涵盖了现代渗透测试的绝大部分核心技术：<\/p> 信息收集是基石<\/strong>：源代码、配置文件、堆转储文件都是信息金矿。<\/li> 漏洞利用链思维<\/strong>：一个漏洞点的突破往往是为下一个漏洞利用创造条件（如：通过A漏洞获取B系统的密码）。<\/li> 多种Web漏洞<\/strong>：未授权访问、反序列化、命令注入、配置错误等。<\/li> 权限提升技术<\/strong>： UDF提权是数据库类提权的重要方式。<\/li> 内网穿透技术<\/strong>：代理、隧道、VPN的配置与使用。<\/li> 代码审计能力<\/strong>：快速从源代码中定位安全漏洞。<\/li> 密码学与破解<\/strong>：分析加密逻辑，进行针对性爆破或解密。<\/li> 工具熟练度<\/strong>：熟练使用fscan、哥斯拉、Metasploit、MDUT、JWT工具等是效率的保证。<\/li> ** persistence**：内存马等高级持久化手段。<\/li> <\/ol> 希望这份详尽的教学文档能帮助您系统地理解整个渗透测试流程。每个技术点都可以作为专题进行更深入的学习和研究。<\/p>