实战剖析内网域渗透(上)（内网渗透可以用来干嘛）

前言：

本期技术分享，小星将与大家就“内网域渗透”为主题进行第一部分的实战剖析。本次靶场是一个高度安全的域控环境靶场，存有多个防火墙，所以也导致存在多个dmz， 能够有效隔离保护各个工作区。

红队测试人员需要在互联网或从对外网的 WEB 服务器中进行测试后，才能进入内网服务器收集资产；紧接渗透核心区域，打穿 AD 域控，取得域控的权限。

本次靶场拓扑图如下所示，外网ip存在些许差别。

1. 首先对ip进行端口扫描。扫描发现，ip开放了几个端口，其中80端口为http服务。

2. 浏览器访问80端口，发现是宝塔界面。根据界面提示，我需要绑定域名才可以访问web服务。

3.本地绑定host后，访问www.cf1.com。根据所搜集到的信息结果，我们成功获取到版本为2.0.8的PBOOTCMS；尝试留言板出代码，但是执行失败。

4.现在已知悉当前web的CMS及其版本，在互联网上搜索已经被揭示的漏洞。

5.测试后，当前版本没有可以直接成功利用的漏洞，因为漏洞需要在特定条件下才能利用。扫描网站目录，也未能发现有用的信息；扫描网站备份文件，发现存在config.tar.gz文件。

6.根据文件名称猜想，该文件应为数据库配置文件。下载查看数据库配置文件，获取数据库的名称、账号以及密码。

7.前面通过端口扫描得知，目标主机已经开放了3306端口，我们直接远程连接即可。查看列表，获取到管理员的账号和明文密码。

8.对密码的密文进行解密，得到明文密码为admin7788。

9.此前我们搜索pbootcms的漏洞时，已经获取到了后台getshell的多个方法，现在直接使用网络流传的payload来进行getshell。

10.访问首页显示phpinfo说明漏洞利用成功。因为存在宝塔，查看需要使用的系统函数，发现其过滤了很多常用的函数，常规的直接写入将无法起效。

11. 使用file_get_connet()函数进行绕过，远程下载免杀马。

12. 访问1.php，直接使用蚁剑连接haha.php。

13.使用蚁剑自带的插件以绕过disable_function。

14.由于当前权限较低，需要进行提权操作。此处测试了常规的溢出漏洞，没有提权成功，对当前主机进行信息搜集，发现在cf1用户目录下存在密钥。

15.我们使用ssh来连接目标主机，发现当前主机存在docker，紧接查看当前网卡和路由信息。

16. 利用docker进行提权，直接查看/root目录下的flag。

17.挂载/root目录，查看第一个flag。

18.使用nmap对同网段存活主机进行扫描，发现存在192.168.1.67主机。

19.对192.168.1.67主机进行全端口扫描。

20.访问8080端口的web服务，发现建站为jspxcms系统。

21.网上搜索历史漏洞，显示结果基本为后台getshell的方法。访问后台路径/cmscp/index.do，尝试弱口令admin 123456成功进入管理后台，利用zip解压功能目录穿越漏洞来getshell；准备war脚本jar -cf test.war test.jsp。

22. 上传test.zip压缩包，点击zip解压。

23.浏览器访问/test/test.jsp，存在文件。

24. 使用蚁剑进行连接。

25.进行简单的信息搜集，当前主机存在192.168.1.67以及10.10.1.129双网卡。

26.获取第二个flag。

分享预告

下周，我们将渗透靶场的核心区域，从绕过杀软、免杀等手法的方式来成功绕过杀软的安全拦截，最终拿下域控。