内网渗透实战：从弱口令到生产环境全流程教学

一、前期准备与信息收集

1. 网络扫描与发现

   • 使用扫描工具对所在200网段进行全面扫描
   • 重点关注常见管理后台端口(8081, 8443等)
   • 记录所有发现的平台和管理后台

2. 弱口令尝试

   • 对发现的每个平台尝试常见弱口令组合
   • 重点关注admin/admin、admin/123456等常见组合
   • 建立弱口令字典用于后续测试

二、初始突破点：Jenkins弱口令利用

1. 发现漏洞

   • 在6网段发现8081端口开放的Jenkins服务
   • 成功使用admin/admin弱口令登录

2. 命令执行漏洞利用

   • 在Jenkins后台寻找可执行命令的功能点
   • 确认执行权限为root(高危)
   • 尝试直接执行反弹shell命令

3. 反弹shell受阻解决方案

   • 发现目标机器不出网，常规反弹失败
   • 尝试方案：
     • Python反弹脚本上传执行
     • JSP Webshell上传(需Java环境)
     • SSH公钥注入

4. SSH连接技巧

   • 发现SSH端口被修改为10022(非标准22端口)
   • 通过查看配置文件确认实际端口
   • 使用私钥成功连接获得root权限

三、后渗透信息收集

1. 系统信息收集

   • 检查管理员历史命令(history)
   • 搜索配置文件中的敏感信息
   • 检查数据库连接信息

2. 密码模式识别

   • 发现郑州生产环境密码
   • 推测密码可能遵循"城市缩写"命名规则
   • 尝试修改最后两个字符为其他城市代码

3. 横向移动突破口

   • 在云计算平台发现27网段机器
   • 使用猜测密码成功登录多台主机
   • 从机器描述中发现潜在密码线索

四、横向渗透与生产环境突破

1. 关键机器获取

   • 定位27.150关键机器
   • 获取root目录下的数据库命令和历史记录
   • 提取复杂密码用于后续测试

2. 生产环境访问

   • 发现该机器曾连接6网段其他机器
   • 使用老密码成功横向移动
   • 通过数据库资产IP与密码本匹配生产环境

3. 大规模密码喷洒

   • 对6和27网段进行全面密码尝试
   • 发现密码重用现象严重
   • 获取多地交换机、防火墙未授权访问

五、技术总结与防御建议

1. 渗透经验总结

   • 真实环境shell获取往往比靶机复杂
   • 信息收集是后渗透的关键
   • 密码重用是内网最大安全隐患

2. 防御建议

   • 禁用所有默认和弱口令
   • 不同系统使用不同密码
   • 限制管理后台访问源IP
   • 修改默认服务端口
   • 实施网络分段隔离
   • 定期更换重要系统密码
   • 监控异常登录行为

3. 渗透测试方法论

   • 保持耐心，考虑各种异常情况
   • 灵活发散思维，寻找密码模式
   • 全面记录每个发现，建立信息关联
   • 从获取的每条信息中挖掘潜在价值

六、工具与技术要点

1. 常用工具

   • 端口扫描工具(Nmap等)
   • 弱口令爆破工具(Hydra等)
   • Webshell管理工具(冰蝎等)
   • 内网扫描器

2. 关键技术点

   • Jenkins未授权访问/弱口令利用
   • 不出网环境下的权限维持
   • 非标准端口服务识别
   • 密码模式分析与猜测
   • 基于已有信息的横向移动
   • 密码喷洒攻击技巧

通过本案例可以学习到完整的内网渗透流程，从初始弱口令获取到最终生产环境突破，强调了信息收集和密码安全在内网安全中的关键作用。