內(nèi)網(wǎng)滲透實戰(zhàn)攻略

Contents目　　錄
前　言
第1章　內(nèi)網(wǎng)滲透測試基礎(chǔ)　1
1.1　工作組　1
1.2　域　2
1.3　活動目錄　3
1.4　域樹和域森林　4
1.5　常規(guī)安全域劃分　6
第2章　基于入侵生命周期的攻擊
　流程設(shè)計　8
2.1　網(wǎng)絡(luò)殺傷鏈、ATT&CK及NTCTF　8
2.2　入侵生命周期　11
第3章　環(huán)境準備與常用工具　13
3.1　基礎(chǔ)環(huán)境：VMware與
　Kali Linux　13
3.2　端口掃描及服務(wù)發(fā)現(xiàn)類工具　14
3.2.1　Nmap　14
3.2.2　Zenmap　15
3.3　流量捕獲工具：Burp Suite　16
3.4　爆破類工具　23
3.4.1　DirBuster　23
3.4.2　超級弱口令檢查工具　24
3.4.3　dirsearch　25
3.4.4　JWTPyCrack　26
3.4.5　tgsrepcrack　27
3.5　Web漏洞檢測及利用類工具　27
3.5.1　WeblogicScanner　27
3.5.2　Struts 2　28
3.5.3　TPscan　29
3.5.4　TongdaOA-exp　30
3.5.5　laravel-CVE-2021-3129-EXP　30
3.6　webshell管理類工具　31
3.6.1　冰蝎3　31
3.6.2　中國蟻劍　35
3.6.3　哥斯拉　37
3.6.4　Gomoon　40
3.7　數(shù)據(jù)庫管理工具　41
3.7.1　Navicat　41
3.7.2　Redis Desktop Manager　44
3.7.3　Multiple Database Utilization 
　Tools　45
3.7.4　SQLTools　49
3.8　字典類工具fuzzDicts　49
3.9　網(wǎng)絡(luò)代理類工具Proxif?ier　50
3.10　內(nèi)網(wǎng)滲透綜合類工具　54
3.10.1　Cobalt Strike　54
3.10.2　Metasploit　65
3.10.3　Railgun　72
3.10.4　Mimikatz　76
第4章　Vulnstack1：利用域賬號
　實現(xiàn)權(quán)限擴散　81
4.1　環(huán)境簡介與環(huán)境搭建　82
4.2　探索發(fā)現(xiàn)階段　84
4.2.1　使用Nmap對靶場入口IP
　進行端口掃描及服務(wù)探測　84
4.2.2　識別80端口的Web應(yīng)用
　框架及版本　84
4.3　入侵和感染階段　86
4.3.1　對Web服務(wù)進行目錄掃描　87
4.3.2　利用phpMyAdmin日志文件
　獲取Web服務(wù)器權(quán)限　89
4.4　攻擊和利用階段：Web服務(wù)器
　進程注入與提權(quán)　97
4.5　探索感知階段　100
4.5.1　收集內(nèi)網(wǎng)域服務(wù)器信息　100
4.5.2　抓取哈希及轉(zhuǎn)儲明文密碼　101
4.6　傳播階段　101
4.6.1　使用PsExec建立IPC通道，
　上線域控服務(wù)器　102
4.6.2　使用PsExec建立IPC通道，
　上線域成員服務(wù)器　104
4.7　持久化和恢復(fù)階段　104
4.7.1　通過Cobalt Strike持久化控制
　服務(wù)器　105
4.7.2　恢復(fù)階段的攻擊　106
4.8　實踐知識點總結(jié)　106
第5章　Vulnstack2：攻防中的
　殺軟對抗　108
5.1　環(huán)境簡介與環(huán)境搭建　108
5.2　探索發(fā)現(xiàn)階段　112
5.3　入侵和感染階段　115
5.3.1　對WebLogic服務(wù)進行批量
　漏洞掃描　115
5.3.2　利用反序列化漏洞攻擊
　WebLogic　116
5.4　攻擊和利用階段　119
5.4.1　利用cmd webshell寫入
　冰蝎馬　119
5.4.2　通過冰蝎3將WebLogic
　服務(wù)器上線到Metasploit　123
5.4.3　繞過360安全衛(wèi)士，將
　WebLogic服務(wù)器上線到
　Cobalt Strike　125
5.4.4　繞過360安全衛(wèi)士，對
　WebLogic服務(wù)器進行提權(quán)　128
5.4.5　將WebLogic服務(wù)器的
　Metasploit會話傳遞到
　Cobalt Strike　132
5.4.6　抓取WebLogic服務(wù)器上的
　操作系統(tǒng)憑證　133
5.4.7　通過3389端口RDP登錄
　WebLogic服務(wù)器　135
5.5　探索感知階段　135
5.6　傳播階段　136
5.6.1　利用Zerologon漏洞攻擊
　域控服務(wù)器　136
5.6.2　使用PsExec將域控服務(wù)器
　上線到Cobalt Strike　138
5.6.3　使用PsExec將域內(nèi)主機上線
　到Cobalt Strike　140
5.7　持久化和恢復(fù)階段　142
5.7.1　通過Cobalt Strike持久化
　控制服務(wù)器　142
5.7.2　恢復(fù)階段的攻擊　143
5.8　實踐知識點總結(jié)　143
第6章　Vulnstack3：利用PTH
　攻擊獲取域控權(quán)限　144
6.1　環(huán)境簡介與環(huán)境搭建　145
6.2　探索發(fā)現(xiàn)階段　147
6.2.1　使用Nmap對靶場入口IP
　進行端口掃描及服務(wù)探測　147
6.2.2　識別80端口的Web應(yīng)用
　框架及版本　148
6.3　入侵和感染階段　149
6.3.1　SSH應(yīng)用服務(wù)攻擊　149
6.3.2　MySQL應(yīng)用服務(wù)攻擊　149
6.3.3　Joomla應(yīng)用攻擊　154
6.4　攻擊和利用階段　163
6.4.1　查找Linux服務(wù)器敏感
　文件　163
6.4.2　Linux服務(wù)器提權(quán)　164
6.4.3　Linux服務(wù)器上線MSF　167
6.5　探索感知階段　169
6.5.1　利用MSF配置內(nèi)網(wǎng)路由　169
6.5.2　探測內(nèi)網(wǎng)網(wǎng)段存活主機　170
6.6　傳播階段　172
6.6.1　利用SMB爆破攻擊內(nèi)網(wǎng)
　Windows服務(wù)器　172
6.6.2　利用Zerologon攻擊域控
　服務(wù)器　174
6.6.3　利用PTH攻擊域控服務(wù)器　177
6.6.4　利用PTH攻擊域內(nèi)主機　177
6.7　持久化和恢復(fù)階段　179
6.7.1　通過定時任務(wù)持久化控制
　Linux服務(wù)器　179
6.7.2　恢復(fù)階段的攻擊　179
6.8　實踐知識點總結(jié)　180
第7章　Vulnstack4：Docker
　逃逸突破邊界　181
7.1　環(huán)境簡介與環(huán)境搭建　182
7.2　探索發(fā)現(xiàn)階段　185
7.2.1　使用Nmap對靶場入口IP
　進行端口掃描及服務(wù)探測　186
7.2.2　識別2001端口的Web
　應(yīng)用框架及版本　187
7.2.3　識別2002端口的Web
　應(yīng)用框架及版本　187
7.2.4　識別2003端口的Web
　應(yīng)用框架及版本　189
7.3　入侵和感染階段　190
7.3.1　使用Struts 2漏洞檢測工具
　對Web應(yīng)用進行漏洞測試　190
7.3.2　使用Tomcat框架漏洞對Web
　應(yīng)用進行漏洞測試　194
7.3.3　使用phpMyAdmin應(yīng)用漏洞
　對Web應(yīng)用進行漏洞測試　197
7.4　攻擊和利用階段　202
7.4.1　Struts 2 應(yīng)用服務(wù)器環(huán)境
　識別　202
7.4.2　Struts 2應(yīng)用Docker服務(wù)器
　逃逸　203
7.4.3　Tomcat應(yīng)用服務(wù)器環(huán)境
　識別　205
7.4.4　Tomcat應(yīng)用Docker服務(wù)器
　逃逸　205
7.4.5　phpMyAdmin應(yīng)用服務(wù)器
　環(huán)境識別　212
7.4.6　phpMyAdmin應(yīng)用服務(wù)器
　權(quán)限提升　213
7.4.7　利用MSF配置內(nèi)網(wǎng)代理　215
7.5　探索感知階段　219
7.6　傳播階段　221
7.6.1　利用MSF對Windows
　服務(wù)器445端口的SMB
　服務(wù)進行漏洞檢測　221
7.6.2　利用smart_hashdump獲取
　內(nèi)網(wǎng)Windows服務(wù)器密碼
　哈?！?22
7.6.3　利用PTH攻擊域內(nèi)服務(wù)器　224
7.7　持久化和恢復(fù)階段　225
7.7.1　通過定時任務(wù)持久化控制
　服務(wù)器　225
7.7.2　恢復(fù)階段的攻擊　227
7.8　實踐知識點總結(jié)　228
第8章　Vulnstack5：使用PsExec對
　不出網(wǎng)的域控服務(wù)器進行橫
　向滲透及上線　229
8.1　環(huán)境簡介與環(huán)境搭建　229
8.2　探索發(fā)現(xiàn)階段：利用GUI掃描
　工具進行端口掃描　232
8.3　入侵和感染階段　233
8.3.1　對ThinkPHP V5.0框架服務(wù)
　進行批量漏洞掃描　233
8.3.2　利用ThinkPHP V5.0 RCE
　漏洞攻擊Web服務(wù)器　233
8.3.3　對MySQL數(shù)據(jù)庫服務(wù)進行
　弱口令爆破攻擊　235
8.4　攻擊和利用階段　236
8.4.1　利用cmd webshell傳輸
　Cobalt Strike上線木馬　236
8.4.2　抓取Web服務(wù)器上的操作
　系統(tǒng)憑證　241
8.5　探索感知和傳播階段　242
8.5.1　使用Cobalt Strike對內(nèi)網(wǎng)段
　進行掃描　242
8.5.2　使用PsExec將域控服務(wù)器
　上線到Cobalt Strike　245
8.6　持久化和恢復(fù)階段　251
8.6.1　通過Cobalt Strike持久化
　控制服務(wù)器　251
8.6.2　清除攻擊日志　255
8.7　實踐知識點總結(jié)　260
第9章　Vulnstack6：利用Zerologon
　漏洞獲得域控權(quán)限　261
9.1　環(huán)境簡介與環(huán)境搭建　261
9.2　探索發(fā)現(xiàn)階段：利用GUI掃描
　工具進行服務(wù)掃描　264
9.3　入侵和感染階段　265
9.3.1　對Web服務(wù)進行目錄掃描　265
9.3.2　Typecho CMS反序列化漏洞
　測試　268
9.3.3　Typecho CMS弱口令漏洞
　測試　268
9.3.4　通過phpStudy Nginx解析
　漏洞攻擊Typecho服務(wù)器　271
9.4　攻擊和利用階段　274
9.4.1　通過MS16-075漏洞對Typecho
　服務(wù)器進行提權(quán)測試　274
9.4.2　獲取Typecho服務(wù)器的系統(tǒng)
　憑證　275
9.4.3　通過Cobalt Strike構(gòu)建內(nèi)網(wǎng)
　代理　276
9.5　探索感知階段　277
9.5.1　利用Cobalt Strike對已知
　內(nèi)網(wǎng)段進行探測　277
9.5.2　使用工具代理對已知內(nèi)網(wǎng)段
　進行探測　278
9.6　傳播階段　280
9.6.1　域控服務(wù)器Zerologon漏洞
　測試　280
9.6.2　通過PTH將域控服務(wù)器上
　線到Cobalt Strike　286
9.7　持久化和恢復(fù)階段　288
9.7.1　通過啟動項設(shè)置持久化控制
　Windows服務(wù)器　288
9.7.2　恢復(fù)階段的攻擊　288
9.8　實踐知識點總結(jié)　288
第10章　Vulnstack7：利用不同
　服務(wù)漏洞突破多層內(nèi)網(wǎng)　289
10.1　環(huán)境簡介與環(huán)境搭建　290
10.2　探索發(fā)現(xiàn)階段　292
10.2.1　對目標服務(wù)器進行端口
　掃描　292
10.2.2　識別81端口的Web應(yīng)用
　框架及版本　293
10.3　入侵和感染階段　294
10.3.1　利用Laravel RCE漏洞攻擊
　服務(wù)器81端口　295
10.3.2　利用Redis未授權(quán)訪問漏洞
　攻擊服務(wù)器6379端口　298
10.4　攻擊和利用階段　302
10.4.1　Laravel服務(wù)器環(huán)境識別　303
10.4.2　Laravel Docker服務(wù)器權(quán)限
　提升　304
10.4.3　Laravel Docker服務(wù)器
　逃逸　305
10.4.4　利用MSF搭建內(nèi)網(wǎng)路由　306
10.5　探索感知階段　311
10.5.1　通過內(nèi)網(wǎng)代理對內(nèi)網(wǎng)服務(wù)器
　進行端口掃描　311
10.5.2　識別內(nèi)網(wǎng)服務(wù)器8080端口
　的Web應(yīng)用框架及版本　312
10.6　傳播階段　313
10.6.1　利用通達OA漏洞攻擊
　內(nèi)網(wǎng)服務(wù)器8080端口的
　Web應(yīng)用　313
10.6.2　利用MS17-010漏洞攻擊
　內(nèi)網(wǎng)服務(wù)器445端口的
　SMB服務(wù)　317
10.6.3　利用Mimikatz獲取內(nèi)網(wǎng)
　Windows服務(wù)器密碼　318
10.6.4　利用PTH攻擊域控
　服務(wù)器　319
10.7　持久化和恢復(fù)階段　323
10.7.1　通過Metasploit持久化控制
　服務(wù)器　323
10.7.2　通過Cobalt Strike持久化
　控制服務(wù)器　323
10.7.3　恢復(fù)階段的攻擊　324
10.8　實踐知識點總結(jié)　324
第11章　暗月ack123：通過SPN
　攻擊獲取域控權(quán)限　326
11.1　環(huán)境簡介與環(huán)境搭建　327
11.2　探索發(fā)現(xiàn)階段：使用Nmap
　進行服務(wù)掃描　331
11.3　入侵和感染階段　333
11.3.1　對Web服務(wù)進行目錄
　掃描　333
11.3.2　使用UEditor編輯器漏洞
　攻擊Web服務(wù)器　335
11.4　攻擊和利用階段　338
11.4.1　繞過360全家桶，將Web
　服務(wù)器上線到Cobalt Strike　339
11.4.2　繞過360全家桶，對Web
　服務(wù)器進行提權(quán)攻擊　341
11.4.3　將Metasploit會話傳遞到
　Cobalt Strike　345
11.4.4　通過Cobalt Strike或
　Metasploit構(gòu)建內(nèi)網(wǎng)
　代理　346
11.5　探索感知階段　347
11.5.1　搜集Web服務(wù)器敏感文件
　信息　347
11.5.2　使用工具代理對已知內(nèi)網(wǎng)段
　進行探測　349
11.6　傳播階段　350
11.6.1　通過MSSQL提升系統(tǒng)
　權(quán)限　351
11.6.2　繞過火絨，將MSSQL服務(wù)
　器上線到Cobalt Strike　353
11.6.3　利用MS16-075漏洞對MSSQL
　服務(wù)器進行提權(quán)　354
11.6.4　對Web服務(wù)器2進行
　JWT token爆破攻擊　355
11.6.5　通過phpMyAdmin對Web
　服務(wù)器2進行g(shù)etshell操作　358
11.6.6　將不出網(wǎng)的Web服務(wù)器2
　上線到Cobalt Strike　362
11.6.7　通過Cobalt Strike進程注入
　獲取Web服務(wù)器2的域用戶
　會話　364
11.6.8　收集域網(wǎng)段信息及定位域控
　服務(wù)器　365
11.6.9　使用SPN攻擊獲取域控
　服務(wù)器權(quán)限　368
11.7　持久化和恢復(fù)階段　372
11.7.1　通過Cobalt Strike持久化
　控制服務(wù)器　372
11.7.2　恢復(fù)階段的攻擊　373
11.8　實踐知識點總結(jié)　373
第12章　Vulnstack8：挑戰(zhàn)多層
　代理下的域滲透　375
12.1　環(huán)境簡介與環(huán)境搭建　376
12.2　攻擊實戰(zhàn)　377
12.2.1　攻擊第一層主機　377
12.2.2　攻擊其他層主機　378
12.3　實踐知識點總結(jié)　379