半途而废的测试
字数 1382 2025-08-20 18:18:40

渗透测试实战教学:从外网到内网的完整渗透过程

1. 目标识别与初步侦察

1.1 初始发现

  • 目标地址:x.x.x.x:8082
  • 发现401认证登录框
  • 初步尝试常见弱口令:
    • admin/123456
    • admin123
    • admin888
    • 000000
    • 均未成功

1.2 端口扫描

  • 发现80端口开放但返回空白页面
  • 全面端口扫描发现:
    • 数千个端口开放(异常情况)
    • 确认目标为台湾地区的Windows服务器
    • 关键开放端口:
      • 3389 (RDP)
      • 8083 (空白页面)
      • 9090 (后续发现可利用)

2. 漏洞利用与初始访问

2.1 Web应用渗透

  • 发现x.x.x.x:9090存在可利用漏洞
  • 通过该服务成功获取shell
  • 限制条件:目标主机不能出网(无互联网连接)

2.2 权限提升

  • 添加账号到管理员组
  • 确认管理员不在线后,直接通过RDP(3389)登录

3. 内网侦察与横向移动

3.1 内网环境分析

  • 发现多台Windows主机
  • 操作系统分布:
    • 主要为Windows Server 2008
    • 包含2台Windows XP系统

3.2 横向渗透尝试

  1. 端口扫描发现

    • 多台主机开放1433端口(MSSQL)

  2. 攻击方法尝试

    • 使用永恒之蓝(MS17-010)漏洞攻击(适合Windows 2008/XP)
    • 尝试爆破RDP(3389)连接:
      • 使用管理员密码作为字典
      • 尝试未成功
    • MSSQL爆破:
      • 7-8台机器开放1433端口
      • 可作为潜在突破口

3.3 凭证获取尝试

  • 上传mimikatz工具尝试抓取密码哈希
  • 检查管理员是否在记事本中保存密码(未发现)
  • 通过共享文件夹寻找敏感信息(仅发现几个无价值共享文件夹)

4. 受限环境下的渗透思路

4.1 网络限制分析

  • 关键限制:目标不能出网
    • 无法使用MSF等需要回连的工具
    • 需要寻找其他方式进行横向移动

4.2 潜在解决方案

  1. MS17-010利用

    • 适合内网Windows 2008/XP系统
    • 需准备不需要出网的利用方式

  2. MSSQL服务利用

    • 集中爆破1433端口
    • 成功后可能获取数据库权限
    • 通过数据库服务进一步渗透

  3. Pass-the-Hash攻击

    • 如果获取到密码哈希
    • 在内网中进行横向移动

  4. 搭建内网代理

    • 尝试在被控主机上搭建代理服务
    • 突破网络限制进行进一步渗透

5. 经验总结与最佳实践

  1. 弱口令测试

    • 始终作为第一步尝试
    • 准备全面的弱口令字典

  2. 全面端口扫描

    • 发现非常规开放端口(如9090)可能是突破口
    • 注意异常的大量开放端口情况

  3. 内网渗透准备

    • 预先准备不出网环境下可用的工具
    • 如静态编译的mimikatz、无需回连的漏洞利用程序

  4. 横向移动策略

    • 优先尝试已知漏洞(如永恒之蓝)
    • 次选服务爆破(MSSQL/RDP等)
    • 利用已获取凭证尝试Pass-the-Hash

  5. 痕迹清理

    • 添加的管理员账号需记得清除
    • RDP登录记录需清理

6. 后续渗透建议

  1. 集中攻击MSSQL服务

    • 针对7-8台开放1433的主机进行爆破
    • 尝试sa弱口令和常见密码组合

  2. 深入分析XP系统

    • XP系统通常安全性更低
    • 可能存在更多未修复漏洞

  3. 寻找内部DNS或域控

    • 识别内网域环境
    • 尝试获取域管理员权限

  4. 数据收集与定位

    • 搜索内网文件服务器
    • 寻找敏感文档、配置文件等

  5. 权限维持

    • 在已控主机上建立持久化后门
    • 避免依赖单一访问点
渗透测试实战教学:从外网到内网的完整渗透过程 1. 目标识别与初步侦察 1.1 初始发现 目标地址:x.x.x.x:8082 发现401认证登录框 初步尝试常见弱口令: admin/123456 admin123 admin888 000000 均未成功 1.2 端口扫描 发现80端口开放但返回空白页面 全面端口扫描发现: 数千个端口开放(异常情况) 确认目标为台湾地区的Windows服务器 关键开放端口: 3389 (RDP) 8083 (空白页面) 9090 (后续发现可利用) 2. 漏洞利用与初始访问 2.1 Web应用渗透 发现x.x.x.x:9090存在可利用漏洞 通过该服务成功获取shell 限制条件:目标主机不能出网(无互联网连接) 2.2 权限提升 添加账号到管理员组 确认管理员不在线后,直接通过RDP(3389)登录 3. 内网侦察与横向移动 3.1 内网环境分析 发现多台Windows主机 操作系统分布: 主要为Windows Server 2008 包含2台Windows XP系统 3.2 横向渗透尝试 端口扫描发现 : 多台主机开放1433端口(MSSQL) 攻击方法尝试 : 使用永恒之蓝(MS17-010)漏洞攻击(适合Windows 2008/XP) 尝试爆破RDP(3389)连接: 使用管理员密码作为字典 尝试未成功 MSSQL爆破: 7-8台机器开放1433端口 可作为潜在突破口 3.3 凭证获取尝试 上传mimikatz工具尝试抓取密码哈希 检查管理员是否在记事本中保存密码(未发现) 通过共享文件夹寻找敏感信息(仅发现几个无价值共享文件夹) 4. 受限环境下的渗透思路 4.1 网络限制分析 关键限制:目标不能出网 无法使用MSF等需要回连的工具 需要寻找其他方式进行横向移动 4.2 潜在解决方案 MS17-010利用 : 适合内网Windows 2008/XP系统 需准备不需要出网的利用方式 MSSQL服务利用 : 集中爆破1433端口 成功后可能获取数据库权限 通过数据库服务进一步渗透 Pass-the-Hash攻击 : 如果获取到密码哈希 在内网中进行横向移动 搭建内网代理 : 尝试在被控主机上搭建代理服务 突破网络限制进行进一步渗透 5. 经验总结与最佳实践 弱口令测试 : 始终作为第一步尝试 准备全面的弱口令字典 全面端口扫描 : 发现非常规开放端口(如9090)可能是突破口 注意异常的大量开放端口情况 内网渗透准备 : 预先准备不出网环境下可用的工具 如静态编译的mimikatz、无需回连的漏洞利用程序 横向移动策略 : 优先尝试已知漏洞(如永恒之蓝) 次选服务爆破(MSSQL/RDP等) 利用已获取凭证尝试Pass-the-Hash 痕迹清理 : 添加的管理员账号需记得清除 RDP登录记录需清理 6. 后续渗透建议 集中攻击MSSQL服务 : 针对7-8台开放1433的主机进行爆破 尝试sa弱口令和常见密码组合 深入分析XP系统 : XP系统通常安全性更低 可能存在更多未修复漏洞 寻找内部DNS或域控 : 识别内网域环境 尝试获取域管理员权限 数据收集与定位 : 搜索内网文件服务器 寻找敏感文档、配置文件等 权限维持 : 在已控主机上建立持久化后门 避免依赖单一访问点