内网渗透--对不出网目标的打法
字数 2199 2025-08-05 12:50:18

内网渗透中对不出网目标的攻击方法详解

1. 环境配置与初始信息收集

1.1 网络拓扑配置

  • 实验环境使用VM虚拟机搭建
  • 网络拓扑结构:
    • Win7(双网卡):外网IP 192.168.8.133,内网网段192.168.52.0/24
    • Win Server 2008和Win2003:仅内网互通,不通外网
    • 攻击机:Mac系统

1.2 外网打点方法

  1. 通过phpMyAdmin弱口令

    • 发现phpMyAdmin弱口令后进入后台
    • 两种getshell方法:
      • 获取网站绝对路径后使用select into outfile写shell(需secure_file_priv不为null)
      • 利用日志写shell(本案例采用方法)

  2. 通过备份文件泄露

    • 目录扫描发现beifen.rar备份文件
    • 源码中找到后台账号密码:admin/123456
    • 登陆路径:/index.php?r=admin
    • 前台模板文件中添加一句话木马获取shell

2. 获得Webshell后的信息收集

2.1 基础信息收集

  • 我是谁:通过蚁剑等工具获取基础系统信息
  • 我在哪
    • 使用ipconfig /all查看网络信息
    • 发现双网卡配置,存在域环境
  • 杀软检测
    • 使用tasklist查看进程
    • 比对已知杀软进程,确认无杀软

3. 内网渗透技术

3.1 CS上线与信息收集

  1. CS上线:直接使用Cobalt Strike上线
  2. 内网信息收集
    • 使用net view查看域信息
    • 使用CS端口扫描功能扫描8和52两个网段
    • 抓取密码:
      • CS的hashdump读取内存密码
      • mimikatzlogonpasswords读取注册表密码

3.2 内网横向移动(通过登录凭证)

  1. 条件
    • 获取管理员权限凭证
    • 目标主机未开启防火墙
  2. 方法
    • 使用CS自带的psexec进行横向移动
    • 针对不出网机器,采用SMB Beacon

3.3 SMB Beacon使用详解

原理

  • 使用命名管道通过父级Beacon进行通讯
  • 流量封装在SMB协议中,相对隐蔽
  • 不能直接生成可用载荷,需使用PsExec或Stageless Payload上线

使用条件

  1. 具有SMB Beacon的主机必须接受445端口连接
  2. 只能链接由同一个Cobalt Strike实例管理的Beacon
  3. 必须拥有目标主机的管理员权限凭据

操作步骤

  1. 建立SMB的listener
  2. 在CS中使用psexec进行横向移动,选择现有beacon作为跳板
  3. 使用administrator凭据连接
  4. 成功连接后,beacon右侧会显示∞∞标识

注意事项

  • 出网机作为中间人,若出网机断开,不出网主机也会断

4. 内网横向移动(通过MS17-010)

4.1 常见攻击方法

  1. 工具选择

    • MSF(最稳定)
    • ladon/ladon_ms17010
    • 从MSF分离出的exe
    • Nessus里的exe
    • CS插件

  2. 工具特点

    • MSF:稳定但配置复杂
    • ladon_ms17010:方便但不稳定
    • CS插件:不稳定,网络不佳时成功率低

4.2 MSF攻击不出网机器详细步骤

  1. 前置条件

    • 让出网机器在MSF上线(可通过CS传递会话或生成MSF马)

  2. 添加路由

    • 查看路由:run get_local_subnets
    • 添加路由:run autoroute -s 192.168.52.0/24
    • 查看已添加路由:run autoroute -p

  3. 漏洞检测

    use auxiliary/scanner/smb/smb_ms17_010
set rhosts <目标IP>
set threads <线程数>
run

  4. 漏洞利用模块选择

    • auxiliary/admin/smb/ms17_010_command:需开启命名管道
    • exploit/windows/smb/ms17_010_psexec:需开启命名管道
    • exploit/windows/smb/ms17_010_eternalblue:只要存在漏洞即可,但可能使目标蓝屏

  5. 命名管道检测

    use auxiliary/admin/smb/ms17_010_command
set rhosts <目标IP>
set command tasklist
run
    • 若命令执行成功,优先使用需要命名管道的模块

  6. 攻击执行

    • 使用正向监听
    • 示例: 
      use exploit/windows/smb/ms17_010_eternalblue
set rhosts <目标IP>
set payload windows/x64/meterpreter/bind_tcp
set lport <监听端口>
exploit

4.3 其他攻击方法

  1. ladon_ms17010

    • 成功后会通过自定义dll新建用户并加入管理员组
    • 开启3389端口
    • 可直接远程登录寻找敏感数据(如"密码本.txt"等)

  2. 注意事项

    • 工具不稳定时不要轻易放弃,尝试多种方法
    • 注意攻击时间选择,避免造成业务影响

5. 总结与关键点

5.1 关键攻击路径

  1. 外网打点 → 获取Webshell → CS上线
  2. 信息收集 → 抓取密码 → 横向移动
  3. 针对不出网机器:
    • 使用SMB Beacon
    • 通过MS17-010等漏洞利用

5.2 技术要点总结

  1. phpMyAdmin拿shell

    • 日志写shell
    • into outfile写shell(需配置允许)

  2. 不出网机器上线

    • SMB Beacon
    • HTTP代理上线
    • pystinger搭建socks4代理

  3. MS17-010利用

    • 多种工具组合使用
    • 注意模块选择和管道检测
    • 稳定性与隐蔽性权衡

5.3 防御建议

  1. 及时修补MS17-010等已知漏洞
  2. 限制命名管道访问权限
  3. 监控异常SMB流量
  4. 加强密码管理,避免凭证泄露
  5. 网络隔离,限制横向移动可能性

本教学文档详细介绍了在内网环境中针对不出网主机的各种渗透方法,从初始信息收集到具体漏洞利用,涵盖了多种技术路径和工具选择,可作为内网渗透实战的参考指南。

内网渗透中对不出网目标的攻击方法详解 1. 环境配置与初始信息收集 1.1 网络拓扑配置 实验环境使用VM虚拟机搭建 网络拓扑结构: Win7(双网卡):外网IP 192.168.8.133,内网网段192.168.52.0/24 Win Server 2008和Win2003:仅内网互通,不通外网 攻击机:Mac系统 1.2 外网打点方法 通过phpMyAdmin弱口令 : 发现phpMyAdmin弱口令后进入后台 两种getshell方法: 获取网站绝对路径后使用 select into outfile 写shell(需secure_ file_ priv不为null) 利用日志写shell(本案例采用方法) 通过备份文件泄露 : 目录扫描发现beifen.rar备份文件 源码中找到后台账号密码:admin/123456 登陆路径:/index.php?r=admin 前台模板文件中添加一句话木马获取shell 2. 获得Webshell后的信息收集 2.1 基础信息收集 我是谁 :通过蚁剑等工具获取基础系统信息 我在哪 : 使用 ipconfig /all 查看网络信息 发现双网卡配置,存在域环境 杀软检测 : 使用 tasklist 查看进程 比对已知杀软进程,确认无杀软 3. 内网渗透技术 3.1 CS上线与信息收集 CS上线 :直接使用Cobalt Strike上线 内网信息收集 : 使用 net view 查看域信息 使用CS端口扫描功能扫描8和52两个网段 抓取密码: CS的 hashdump 读取内存密码 mimikatz 的 logonpasswords 读取注册表密码 3.2 内网横向移动(通过登录凭证) 条件 : 获取管理员权限凭证 目标主机未开启防火墙 方法 : 使用CS自带的 psexec 进行横向移动 针对不出网机器,采用SMB Beacon 3.3 SMB Beacon使用详解 原理 : 使用命名管道通过父级Beacon进行通讯 流量封装在SMB协议中,相对隐蔽 不能直接生成可用载荷,需使用PsExec或Stageless Payload上线 使用条件 : 具有SMB Beacon的主机必须接受445端口连接 只能链接由同一个Cobalt Strike实例管理的Beacon 必须拥有目标主机的管理员权限凭据 操作步骤 : 建立SMB的listener 在CS中使用psexec进行横向移动,选择现有beacon作为跳板 使用administrator凭据连接 成功连接后,beacon右侧会显示∞∞标识 注意事项 : 出网机作为中间人,若出网机断开,不出网主机也会断 4. 内网横向移动(通过MS17-010) 4.1 常见攻击方法 工具选择 : MSF(最稳定) ladon/ladon_ ms17010 从MSF分离出的exe Nessus里的exe CS插件 工具特点 : MSF:稳定但配置复杂 ladon_ ms17010:方便但不稳定 CS插件:不稳定,网络不佳时成功率低 4.2 MSF攻击不出网机器详细步骤 前置条件 : 让出网机器在MSF上线(可通过CS传递会话或生成MSF马) 添加路由 : 查看路由: run get_local_subnets 添加路由: run autoroute -s 192.168.52.0/24 查看已添加路由: run autoroute -p 漏洞检测 : 漏洞利用模块选择 : auxiliary/admin/smb/ms17_010_command :需开启命名管道 exploit/windows/smb/ms17_010_psexec :需开启命名管道 exploit/windows/smb/ms17_010_eternalblue :只要存在漏洞即可,但可能使目标蓝屏 命名管道检测 : 若命令执行成功,优先使用需要命名管道的模块 攻击执行 : 使用正向监听 示例: 4.3 其他攻击方法 ladon_ ms17010 : 成功后会通过自定义dll新建用户并加入管理员组 开启3389端口 可直接远程登录寻找敏感数据(如"密码本.txt"等) 注意事项 : 工具不稳定时不要轻易放弃,尝试多种方法 注意攻击时间选择,避免造成业务影响 5. 总结与关键点 5.1 关键攻击路径 外网打点 → 获取Webshell → CS上线 信息收集 → 抓取密码 → 横向移动 针对不出网机器: 使用SMB Beacon 通过MS17-010等漏洞利用 5.2 技术要点总结 phpMyAdmin拿shell : 日志写shell into outfile写shell(需配置允许) 不出网机器上线 : SMB Beacon HTTP代理上线 pystinger搭建socks4代理 MS17-010利用 : 多种工具组合使用 注意模块选择和管道检测 稳定性与隐蔽性权衡 5.3 防御建议 及时修补MS17-010等已知漏洞 限制命名管道访问权限 监控异常SMB流量 加强密码管理,避免凭证泄露 网络隔离,限制横向移动可能性 本教学文档详细介绍了在内网环境中针对不出网主机的各种渗透方法,从初始信息收集到具体漏洞利用,涵盖了多种技术路径和工具选择,可作为内网渗透实战的参考指南。