Vulnstack红日内网靶场(二)-学习过程笔记
字数 1058 2025-08-12 11:34:41

Vulnstack红日内网靶场(二)渗透测试教学文档

环境搭建

网络拓扑结构

  • WEB服务器:
    • 外网IP: 192.168.111.80
    • 内网IP: 10.10.10.80
  • PC终端:
    • 外网IP: 192.168.111.201
    • 内网IP: 10.10.10.201
  • 域控制器(DC):
    • 内网IP: 10.10.10.10
  • 攻击机(KALI):
    • IP: 192.168.111.128

信息收集阶段

主机发现

使用arp-scan扫描同网段主机:

arp-scan -I eth0 -l

发现目标主机192.168.111.80

端口扫描

使用nmap进行SYN扫描:

nmap -sS -v 192.168.111.80

发现开放端口:

  • 445端口(SMB服务)
  • 7001端口(WebLogic服务)

漏洞利用

WebLogic漏洞利用

  1. 访问7001端口发现WebLogic后台页面
  2. 使用WebLogic扫描器进行漏洞探测:
python weblogic.py -u 192.168.111.80 -p 7001
  1. 利用CVE-2019-2725漏洞获取初始访问权限

Cobalt Strike与Metasploit联动

  1. 在Cobalt Strike中创建监听器
  2. 使用MSF的payload_inject模块:
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
  1. 确保监听端口与CS一致

权限提升

  1. 获取系统权限:
getsystem
  1. 创建新的监听器用于后续操作
  2. 收集基本信息:
shell ipconfig /all
  1. 关闭目标防火墙:
shell netsh advfirewall set allprofiles state off

内网信息收集

  1. 查看域信息:
shell net view /domain
shell net config workstation
  1. 扫描内网存活主机:
portscan 10.10.10.0/24 445 arp 200

发现域控制器10.10.10.10及其他主机

横向移动

  1. 抓取hash用于横向移动
  2. 创建SMB监听器
  3. 由于网段不同,需进行代理转发:
    • 利用已获取的system权限机器作为跳板
  4. 横向移动到DC:
    • 使用相同方法从DC移动到PC

权限维持(黄金票据)

黄金票据原理

在Kerberos认证中:

  1. Client通过AS认证后获得Logon Session Key和TGT
  2. Logon Session Key不保存在KDC中
  3. krbtgt的NTLM Hash是固定的
  4. 获取krbtgt的NTLM Hash后可以伪造TGT和Logon Session Key
  5. 使用黄金票据可跳过AS验证,不受域管密码修改影响

黄金票据制作步骤

  1. 在DC会话中获取hash:
hashdump
logonpasswords
  1. 获取krbtgt的hash
  2. 使用低权限账号的SUID制作黄金票据

总结

本渗透测试过程完整演示了从外网到内网的渗透路径,包括:

  1. 外部信息收集
  2. WebLogic漏洞利用获取初始访问
  3. 权限提升
  4. 内网信息收集
  5. 横向移动技术
  6. 权限维持(黄金票据)

关键点:

  • 多工具联动(Cobalt Strike与Metasploit)
  • 代理转发解决多网段问题
  • 黄金票据的制作与使用
  • 完整的域渗透流程
Vulnstack红日内网靶场(二)渗透测试教学文档 环境搭建 网络拓扑结构 WEB服务器 : 外网IP: 192.168.111.80 内网IP: 10.10.10.80 PC终端 : 外网IP: 192.168.111.201 内网IP: 10.10.10.201 域控制器(DC) : 内网IP: 10.10.10.10 攻击机(KALI) : IP: 192.168.111.128 信息收集阶段 主机发现 使用arp-scan扫描同网段主机: 发现目标主机192.168.111.80 端口扫描 使用nmap进行SYN扫描: 发现开放端口: 445端口(SMB服务) 7001端口(WebLogic服务) 漏洞利用 WebLogic漏洞利用 访问7001端口发现WebLogic后台页面 使用WebLogic扫描器进行漏洞探测: 利用CVE-2019-2725漏洞获取初始访问权限 Cobalt Strike与Metasploit联动 在Cobalt Strike中创建监听器 使用MSF的payload_ inject模块: 确保监听端口与CS一致 权限提升 获取系统权限: 创建新的监听器用于后续操作 收集基本信息: 关闭目标防火墙: 内网信息收集 查看域信息: 扫描内网存活主机: 发现域控制器10.10.10.10及其他主机 横向移动 抓取hash用于横向移动 创建SMB监听器 由于网段不同,需进行代理转发: 利用已获取的system权限机器作为跳板 横向移动到DC: 使用相同方法从DC移动到PC 权限维持(黄金票据) 黄金票据原理 在Kerberos认证中: Client通过AS认证后获得Logon Session Key和TGT Logon Session Key不保存在KDC中 krbtgt的NTLM Hash是固定的 获取krbtgt的NTLM Hash后可以伪造TGT和Logon Session Key 使用黄金票据可跳过AS验证,不受域管密码修改影响 黄金票据制作步骤 在DC会话中获取hash: 获取krbtgt的hash 使用低权限账号的SUID制作黄金票据 总结 本渗透测试过程完整演示了从外网到内网的渗透路径,包括: 外部信息收集 WebLogic漏洞利用获取初始访问 权限提升 内网信息收集 横向移动技术 权限维持(黄金票据) 关键点: 多工具联动(Cobalt Strike与Metasploit) 代理转发解决多网段问题 黄金票据的制作与使用 完整的域渗透流程