新年第一次内网实战
字数 1251 2025-08-15 21:33:14

内网渗透实战:从文件上传到内网横向移动

1. 漏洞发现与初始访问

1.1 文件上传漏洞利用

  • 发现一个低权限测试账户可以上传文件到内容管理系统
  • 虽然账户权限低(只能浏览),但文件上传功能未做权限验证
  • 技术细节:
    • 使用PHP开发的网站
    • 前端验证可被绕过(修改.jpg为.php)
    • 上传后返回服务器绝对路径

1.2 Webshell部署

  • 使用冰蝎(Behinder)马进行攻击
  • 攻击步骤:
    1. 修改冰蝎马后缀为.jpg绕过前端验证
    2. 通过Burp等工具拦截请求,修改为.php后缀
    3. 上传成功后获得Webshell访问权限

2. 权限提升

2.1 初始评估

  • 当前权限:IIS应用程序池账户(通常为中等权限)
  • 网络环境:目标服务器可通外网(通过ping百度确认)

2.2 Cobalt Strike上线

  • 配置CS监听器
  • 生成PowerShell上线马并在目标执行
  • 成功建立C2通道

2.3 系统提权

  • 系统信息收集:

    • 确认系统为Windows Server 2012 R2
    • 检查已安装补丁(用于确定可用漏洞)

  • 提权方法:

    • 使用"烂土豆"(Rotten Potato)提权技术
    • 通过CS内置模块执行提权
    • 成功获得SYSTEM权限会话

3. 凭证获取与破解

3.1 密码哈希提取

  • 使用mimikatz工具:
    • 2012 R2系统默认不存储明文密码
    • 获取NTLM哈希值

3.2 哈希破解尝试

  1. 在线破解服务:

    • 尝试chamd5(付费服务)
    • 尝试其他免费破解网站(排队时间长)

  2. 最终通过专业工具人("p师傅")快速破解成功

4. 内网横向移动

4.1 远程桌面连接

  • 发现系统开启3389端口
  • 使用破解的凭证尝试连接:
    • 直接连接失败(可能因安全策略限制)

4.2 代理进入内网

  • 配置socks4代理
  • 通过代理连接目标内网
  • 成功建立远程桌面会话

4.3 内网扩展

  • 使用arp -a简单探测内网
  • 发现231机器使用相同密码
  • 成功控制第二台内网主机

5. 数据库渗透

  • 定位并访问数据库
  • 发现用户表(uer表)
  • 破解管理员账户密码
  • 成功登录管理账户

6. 环境限制与收尾

  • 目标在阿里云环境,无域环境
  • 无法实践域渗透技术
  • 渗透测试到此结束

技术要点总结

  1. 文件上传绕过

    • 前端验证不可信
    • 扩展名黑名单绕过技巧

  2. 权限提升

    • Rotten Potato提权适用场景
    • 补丁信息收集的重要性

  3. 凭证处理

    • 不同Windows版本的凭证存储差异
    • NTLM哈希的破解策略

  4. 内网技术

    • 代理通道建立
    • 最小化扫描避免触发告警
    • 密码重用带来的风险

  5. 云环境特点

    • 无域环境限制
    • 安全策略可能更严格

防御建议

  1. 文件上传功能:

    • 实施严格的权限验证
    • 后端文件类型验证
    • 随机化文件存储路径

  2. 服务器加固:

    • 及时安装安全补丁
    • 限制IIS账户权限
    • 禁用不必要的协议和服务

  3. 凭证安全:

    • 使用LSA保护策略
    • 定期更换密码
    • 避免密码重用

  4. 内网防护:

    • 网络分段隔离
    • 监控异常代理流量
    • 实施多因素认证

  5. 日志监控:

    • 记录所有RDP连接尝试
    • 监控特权账户使用情况
    • 设置异常行为告警
内网渗透实战:从文件上传到内网横向移动 1. 漏洞发现与初始访问 1.1 文件上传漏洞利用 发现一个低权限测试账户可以上传文件到内容管理系统 虽然账户权限低(只能浏览),但文件上传功能未做权限验证 技术细节: 使用PHP开发的网站 前端验证可被绕过(修改.jpg为.php) 上传后返回服务器绝对路径 1.2 Webshell部署 使用冰蝎(Behinder)马进行攻击 攻击步骤: 修改冰蝎马后缀为.jpg绕过前端验证 通过Burp等工具拦截请求,修改为.php后缀 上传成功后获得Webshell访问权限 2. 权限提升 2.1 初始评估 当前权限:IIS应用程序池账户(通常为中等权限) 网络环境:目标服务器可通外网(通过ping百度确认) 2.2 Cobalt Strike上线 配置CS监听器 生成PowerShell上线马并在目标执行 成功建立C2通道 2.3 系统提权 系统信息收集: 确认系统为Windows Server 2012 R2 检查已安装补丁(用于确定可用漏洞) 提权方法: 使用"烂土豆"(Rotten Potato)提权技术 通过CS内置模块执行提权 成功获得SYSTEM权限会话 3. 凭证获取与破解 3.1 密码哈希提取 使用mimikatz工具: 2012 R2系统默认不存储明文密码 获取NTLM哈希值 3.2 哈希破解尝试 在线破解服务: 尝试chamd5(付费服务) 尝试其他免费破解网站(排队时间长) 最终通过专业工具人("p师傅")快速破解成功 4. 内网横向移动 4.1 远程桌面连接 发现系统开启3389端口 使用破解的凭证尝试连接: 直接连接失败(可能因安全策略限制) 4.2 代理进入内网 配置socks4代理 通过代理连接目标内网 成功建立远程桌面会话 4.3 内网扩展 使用 arp -a 简单探测内网 发现231机器使用相同密码 成功控制第二台内网主机 5. 数据库渗透 定位并访问数据库 发现用户表(uer表) 破解管理员账户密码 成功登录管理账户 6. 环境限制与收尾 目标在阿里云环境,无域环境 无法实践域渗透技术 渗透测试到此结束 技术要点总结 文件上传绕过 : 前端验证不可信 扩展名黑名单绕过技巧 权限提升 : Rotten Potato提权适用场景 补丁信息收集的重要性 凭证处理 : 不同Windows版本的凭证存储差异 NTLM哈希的破解策略 内网技术 : 代理通道建立 最小化扫描避免触发告警 密码重用带来的风险 云环境特点 : 无域环境限制 安全策略可能更严格 防御建议 文件上传功能: 实施严格的权限验证 后端文件类型验证 随机化文件存储路径 服务器加固: 及时安装安全补丁 限制IIS账户权限 禁用不必要的协议和服务 凭证安全: 使用LSA保护策略 定期更换密码 避免密码重用 内网防护: 网络分段隔离 监控异常代理流量 实施多因素认证 日志监控: 记录所有RDP连接尝试 监控特权账户使用情况 设置异常行为告警