攻防演练 | 某市级HW复盘总结
字数 1635 2025-08-10 16:34:25

某市级HW内网渗透实战复盘与教学文档

一、外网打点阶段

1. 信息收集方法论

资产发现三部曲

  1. 域名收集:使用工具如subfinder、amass、OneForAll等获取目标所有关联域名
  2. 端口扫描:使用masscan/nmap进行全端口扫描,识别开放服务
  3. 指纹识别:使用Wappalyzer、WhatWeb等工具识别服务/应用版本

关键点

  • 组合使用多种工具提高发现率
  • 重点关注常见企业系统(OA、CRM等)
  • 记录所有发现资产形成资产清单

2. 漏洞探测技巧

自动化探测

  • 使用已知漏洞工具批量扫描(如泛微/用友漏洞利用工具)
  • 配置合理的超时和线程参数避免被封禁

手动验证

  • 对最新漏洞POC进行手工测试
  • 关注未公开的0day漏洞利用可能性
  • 常规漏洞测试顺序:SQLi > XSS > 文件上传 > 未授权访问 > 其他

3. SQL注入实战案例

发现过程

  • 后台登录处发现单引号报错
  • 双单引号可闭合错误,确认存在SQL注入

Burp插件推荐

  • SQLiPy (自动添加单引号测试注入点)
  • CO2 (自动化SQL注入测试)

MSSQL注入利用

-- 激活xp_cmdshell步骤
execute('sp_configure "show advanced options",1') -- 启用高级选项
execute('reconfigure') -- 保存设置
execute('sp_configure "xp_cmdshell", 1') -- 启用xp_cmdshell
execute('reconfigure') -- 保存设置
execute('sp_configure') -- 查看当前配置
execute('xp_cmdshell "whoami"') -- 测试命令执行

自动化工具利用

sqlmap -r request.txt --dbms=mssql --os-shell

权限维持方法

  • 创建持久化后门账户
  • 添加计划任务
  • 部署Cobalt Strike beacon

二、内网横向移动

1. 信息收集

被动信息收集

net time /domain  # 判断是否在域环境
systeminfo  # 获取系统信息
ipconfig /all  # 网络配置信息
netstat -ano  # 网络连接情况
tasklist /svc  # 进程和服务信息

主动信息收集

  • 使用nmap进行内网扫描
  • 利用BloodHound收集域内关系
  • 使用PowerView获取域信息

2. 横向移动技术

常用方法

  1. 凭证传递

    • NTLM哈希传递(OverPass-the-Hash)
    • Kerberos票据传递(Pass-the-Ticket)

  2. 服务利用

    • SMB/WMI远程命令执行
    • RDP/VNC远程控制
    • MSSQL数据库命令执行

  3. 漏洞利用

    • 永恒之蓝(MS17-010)
    • ZeroLogon(CVE-2020-1472)
    • PrintNightmare(CVE-2021-1675)

3. 权限提升技巧

Windows提权

  • 利用未修补的系统漏洞
  • 服务权限滥用(如不安全的服务路径)
  • AlwaysInstallElevated提权
  • 令牌窃取(如Rotten Potato)

域环境提权

  • Kerberoasting攻击
  • AS-REP Roasting攻击
  • DCSync攻击获取域控权限

三、防御规避与持久化

1. 规避检测技术

常用方法

  • 使用合法进程注入(如rundll32.exe、msbuild.exe)
  • 无文件攻击技术
  • 流量加密与混淆
  • 定时作业与计划任务

2. 持久化方法

主机层面

  • 注册表启动项
  • 服务创建
  • WMI事件订阅
  • 启动文件夹

域层面

  • 黄金票据
  • 白银票据
  • DSRM密码同步
  • ACL权限修改

四、防御建议

1. 外网防御

  • 定期漏洞扫描与修复
  • Web应用防火墙部署
  • 最小化暴露面(关闭不必要端口)
  • 多因素认证实施

2. 内网防御

  • 网络分段与隔离
  • 特权账户管理
  • 日志集中收集与分析
  • 终端检测与响应(EDR)部署

3. 应急响应

  • 建立完善的应急响应流程
  • 定期红蓝对抗演练
  • 威胁情报收集与利用
  • 安全态势感知平台建设

五、工具清单

工具类型 推荐工具
信息收集 nmap, masscan, OneForAll, Amass
漏洞扫描 sqlmap, Nuclei, Xray
内网渗透 Cobalt Strike, Metasploit, Impacket
横向移动 BloodHound, PowerView, CrackMapExec
权限提升 WinPEAS, LinPEAS, Seatbelt
防御检测 Sysmon, Wazuh, Elastic SIEM

本教学文档基于实战案例总结,仅供合法授权测试使用,请遵守相关法律法规。

某市级HW内网渗透实战复盘与教学文档 一、外网打点阶段 1. 信息收集方法论 资产发现三部曲 : 域名收集 :使用工具如subfinder、amass、OneForAll等获取目标所有关联域名 端口扫描 :使用masscan/nmap进行全端口扫描,识别开放服务 指纹识别 :使用Wappalyzer、WhatWeb等工具识别服务/应用版本 关键点 : 组合使用多种工具提高发现率 重点关注常见企业系统(OA、CRM等) 记录所有发现资产形成资产清单 2. 漏洞探测技巧 自动化探测 : 使用已知漏洞工具批量扫描(如泛微/用友漏洞利用工具) 配置合理的超时和线程参数避免被封禁 手动验证 : 对最新漏洞POC进行手工测试 关注未公开的0day漏洞利用可能性 常规漏洞测试顺序:SQLi > XSS > 文件上传 > 未授权访问 > 其他 3. SQL注入实战案例 发现过程 : 后台登录处发现单引号报错 双单引号可闭合错误,确认存在SQL注入 Burp插件推荐 : SQLiPy (自动添加单引号测试注入点) CO2 (自动化SQL注入测试) MSSQL注入利用 : 自动化工具利用 : 权限维持方法 : 创建持久化后门账户 添加计划任务 部署Cobalt Strike beacon 二、内网横向移动 1. 信息收集 被动信息收集 : 主动信息收集 : 使用nmap进行内网扫描 利用BloodHound收集域内关系 使用PowerView获取域信息 2. 横向移动技术 常用方法 : 凭证传递 : NTLM哈希传递(OverPass-the-Hash) Kerberos票据传递(Pass-the-Ticket) 服务利用 : SMB/WMI远程命令执行 RDP/VNC远程控制 MSSQL数据库命令执行 漏洞利用 : 永恒之蓝(MS17-010) ZeroLogon(CVE-2020-1472) PrintNightmare(CVE-2021-1675) 3. 权限提升技巧 Windows提权 : 利用未修补的系统漏洞 服务权限滥用(如不安全的服务路径) AlwaysInstallElevated提权 令牌窃取(如Rotten Potato) 域环境提权 : Kerberoasting攻击 AS-REP Roasting攻击 DCSync攻击获取域控权限 三、防御规避与持久化 1. 规避检测技术 常用方法 : 使用合法进程注入(如rundll32.exe、msbuild.exe) 无文件攻击技术 流量加密与混淆 定时作业与计划任务 2. 持久化方法 主机层面 : 注册表启动项 服务创建 WMI事件订阅 启动文件夹 域层面 : 黄金票据 白银票据 DSRM密码同步 ACL权限修改 四、防御建议 1. 外网防御 定期漏洞扫描与修复 Web应用防火墙部署 最小化暴露面(关闭不必要端口) 多因素认证实施 2. 内网防御 网络分段与隔离 特权账户管理 日志集中收集与分析 终端检测与响应(EDR)部署 3. 应急响应 建立完善的应急响应流程 定期红蓝对抗演练 威胁情报收集与利用 安全态势感知平台建设 五、工具清单 | 工具类型 | 推荐工具 | |---------|---------| | 信息收集 | nmap, masscan, OneForAll, Amass | | 漏洞扫描 | sqlmap, Nuclei, Xray | | 内网渗透 | Cobalt Strike, Metasploit, Impacket | | 横向移动 | BloodHound, PowerView, CrackMapExec | | 权限提升 | WinPEAS, LinPEAS, Seatbelt | | 防御检测 | Sysmon, Wazuh, Elastic SIEM | 本教学文档基于实战案例总结,仅供合法授权测试使用,请遵守相关法律法规。