Vulnstack靶场实战(一)渗透测试教学文档

一、环境配置

1. 靶场下载与准备

下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶机组成: Win7(Web服务器) + Win2003(域成员) + Win2008(域控) + Kali Linux(攻击机)
通用密码: hongrisec@2019 (建议修改)

2. 网络配置

Kali Linux: 仅配置NAT网卡(模拟外网攻击机)
Win7:
- 网卡1: VMnet2(内网)
- 网卡2: NAT(外网)
Win2003/Win2008: 仅配置VMnet2网卡(内网)

3. 连通性测试

Win7能ping通所有主机，但其他主机无法ping通Win7(防火墙过滤ICMP)
Win2003和Win2008能互通
常见问题: Win7的NAT网卡获取不到IP(DHCP分配169.254.0.0/16地址)
- 解决方案: 调整虚拟机网卡顺序(网卡1为VMnet2，网卡2为NAT)

4. Web服务启动

在Win7上使用phpstudy开启Web服务
通过访问127.0.0.1验证服务是否正常

二、信息收集阶段

1. 端口扫描

使用Nmap扫描发现开放80端口

2. Web服务探测

访问Web服务收集信息:
- phpinfo信息
- 管理员邮箱
- 绝对路径
- 版本信息
问题: Kali无法访问Win7的Web服务
- 解决方案: 将NAT网卡修改为公用网络

3. 目录扫描

使用御剑后台扫描工具发现:
- phpmyadmin界面
- beifen.rar备份文件
- robots.txt中发现的yxcms路径

三、漏洞利用

1. YXCMS漏洞利用

信息泄露+后台弱密码:
- 使用默认密码成功登录后台
存储型XSS漏洞:
- 在留言板插入XSS测试代码，后台查看时触发弹窗
任意文件读写漏洞:
- 在前台模板的default模板中新增一句话木马
- 使用中国菜刀连接webshell

2. phpMyAdmin漏洞利用

弱口令(root/root)成功登录
全局日志getshell:
- 开启general_log并指定新日志文件
- 写入一句话木马
- 使用菜刀连接

3. 反弹Shell

使用msfvenom生成payload并上传
使用handler模块监听，访问shell.php获取反弹shell

4. 提权方法

getsystem提权
绕过UAC的模块提权
Windows漏洞提权(如ms16-032、ms17-010)
- 使用systeminfo查看补丁情况
- 根据缺失补丁选择对应exp

5. Cobalt Strike使用

启动CS服务端(设置IP和密码)
启动CS客户端并创建监听器
生成Web Delivery命令在目标执行
功能使用:
- 屏幕截图
- 密码抓取(hashdump/logonpasswords)
- 远程桌面(mstsc)

6. CS与MSF联动

CS会话传MSF:
- MSF设置监听模块
- CS创建Foreign HTTP监听器
- 右击会话选择Spawn
MSF会话传CS:
- 使用payload_inject模块
- 设置CS监听器参数

7. 内网穿透

CS配置socks代理(如socks 1234)

MSF配置代理:

setg Proxies socks4:127.0.0.1:1234
setg ReverseAllowProxy true

修改/etc/proxychains.conf

四、内网信息收集

补丁信息收集: 检查系统更新情况
安装软件信息: 枚举已安装程序
路由信息:
- 添加路由使MSF能访问192.168.52.0网段
ARP扫描: 扫描52网段存活主机
漏洞扫描:
- 关闭防火墙后使用nmap扫描
- 使用nmap vuln脚本检测漏洞
- 使用MSF辅助模块检测ms17-010等漏洞

五、内网攻击技术

1. MS08-067攻击

使用反向代理时payload需设置为正向

2. SMB远程桌面口令猜测

使用MSF的smb_login模块进行爆破

3. RPC DCOM服务漏洞

漏洞原理: RPC框架处理畸形消息时的缓冲区溢出
影响范围: 使用RPC框架的DCOM接口

4. MS17-010(永恒之蓝)

测试内网Windows 2008系统

注意事项

Beacon连接问题:
- 命令执行失败
- 连接断开
- Web Delivery创建失败
- 解决方案: 重启CS服务器
靶机IP信息:
- 192.168.52.141
- 192.168.52.138

本教学文档涵盖了从外网渗透到内网横向移动的完整流程，重点包括漏洞利用、权限提升、C2框架使用和内网穿透技术。实际演练时请确保在授权环境下进行，并遵守相关法律法规。

Vulnstack靶场实战(一)渗透测试教学文档一、环境配置 1. 靶场下载与准备下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 靶机组成: Win7(Web服务器) + Win2003(域成员) + Win2008(域控) + Kali Linux(攻击机) 通用密码: hongrisec@2019 (建议修改) 2. 网络配置 Kali Linux : 仅配置NAT网卡(模拟外网攻击机) Win7 : 网卡1: VMnet2(内网) 网卡2: NAT(外网) Win2003/Win2008 : 仅配置VMnet2网卡(内网) 3. 连通性测试 Win7能ping通所有主机，但其他主机无法ping通Win7(防火墙过滤ICMP) Win2003和Win2008能互通常见问题 : Win7的NAT网卡获取不到IP(DHCP分配169.254.0.0/16地址) 解决方案: 调整虚拟机网卡顺序(网卡1为VMnet2，网卡2为NAT) 4. Web服务启动在Win7上使用phpstudy开启Web服务通过访问127.0.0.1验证服务是否正常二、信息收集阶段 1. 端口扫描使用Nmap扫描发现开放80端口 2. Web服务探测访问Web服务收集信息: phpinfo信息管理员邮箱绝对路径版本信息问题 : Kali无法访问Win7的Web服务解决方案: 将NAT网卡修改为公用网络 3. 目录扫描使用御剑后台扫描工具发现: phpmyadmin界面 beifen.rar备份文件 robots.txt中发现的yxcms路径三、漏洞利用 1. YXCMS漏洞利用信息泄露+后台弱密码 : 使用默认密码成功登录后台存储型XSS漏洞 : 在留言板插入XSS测试代码，后台查看时触发弹窗任意文件读写漏洞 : 在前台模板的default模板中新增一句话木马使用中国菜刀连接webshell 2. phpMyAdmin漏洞利用弱口令(root/root) 成功登录全局日志getshell : 开启general_ log并指定新日志文件写入一句话木马使用菜刀连接 3. 反弹Shell 使用msfvenom生成payload并上传使用handler模块监听，访问shell.php获取反弹shell 4. 提权方法 getsystem提权绕过UAC的模块提权 Windows漏洞提权(如ms16-032、ms17-010) 使用systeminfo查看补丁情况根据缺失补丁选择对应exp 5. Cobalt Strike使用启动CS服务端(设置IP和密码) 启动CS客户端并创建监听器生成Web Delivery命令在目标执行功能使用: 屏幕截图密码抓取(hashdump/logonpasswords) 远程桌面(mstsc) 6. CS与MSF联动 CS会话传MSF : MSF设置监听模块 CS创建Foreign HTTP监听器右击会话选择Spawn MSF会话传CS : 使用payload_ inject模块设置CS监听器参数 7. 内网穿透 CS配置socks代理(如socks 1234) MSF配置代理: 修改/etc/proxychains.conf 四、内网信息收集补丁信息收集 : 检查系统更新情况安装软件信息 : 枚举已安装程序路由信息 : 添加路由使MSF能访问192.168.52.0网段 ARP扫描 : 扫描52网段存活主机漏洞扫描 : 关闭防火墙后使用nmap扫描使用nmap vuln脚本检测漏洞使用MSF辅助模块检测ms17-010等漏洞五、内网攻击技术 1. MS08-067攻击使用反向代理时payload需设置为正向 2. SMB远程桌面口令猜测使用MSF的smb_ login模块进行爆破 3. RPC DCOM服务漏洞漏洞原理: RPC框架处理畸形消息时的缓冲区溢出影响范围: 使用RPC框架的DCOM接口 4. MS17-010(永恒之蓝) 测试内网Windows 2008系统注意事项 Beacon连接问题: 命令执行失败连接断开 Web Delivery创建失败解决方案: 重启CS服务器靶机IP信息: 192.168.52.141 192.168.52.138 本教学文档涵盖了从外网渗透到内网横向移动的完整流程，重点包括漏洞利用、权限提升、C2框架使用和内网穿透技术。实际演练时请确保在授权环境下进行，并遵守相关法律法规。