目录

环境搭建
攻击场景
    寻找外部入口突破
    内网渗透代理隧道
    内部横向渗透攻击
总结   

环境搭建

参照《Metasploit渗透测试魔鬼训练营》第二章进行环境搭建。搭建后测试环境为：
  kali:  10.10.10.128
  owasp ubuntu: 10.10.10.129
  win2k3: 10.10.10.130
  metasploit ubuntu: 10.10.10.254/192.168.10.254
  xp: 192.168.10.128
  win7: 192.168.10.129
  说明：
        1. 添加win7主机，配置静态ip为192.168.10.129
        2. 默认搭建好环境后各个主机是可互相通信，需要在网关服务器配置防火墙策略使DMZ区两台服务器无法与两台内网主机进行通信,命令如下：
        iptables -I INPUT -s 10.10.10.1/24 -d 192.168.10.1/24 -j DROP
        3. 假设此网络拓扑中只有web服务器对外开放，其他四台内网主机外部都不可访问
        4. owasp网页稍作修改，可忽略

Mesploit渗透环境示意图.jpg

攻击场景

寻找入口突破

渗透测试的第一步是进行信息收集，对域名，ip信息，whois查询，端口服务，web程序，中间件，操作系统等信息进行收集整理，对dvssc进行简单的信息收集：
      域名 www.dvssc.com 
      ip:10.10.10.129
      操作系统:  Linux 2.6.17 - 2.6.36

获取webshell

 通过查看页面可以发现后台登录入口，(在正常渗透测试环境中，可能是通过爬虫，目录字典爆破，google hack， 查找编辑器等方式找到后台)通过burpsuit抓包，在后台找到上传点，通过爆破得到后台账号密码：admin admin 
 上传大马连接：

大马.jpg

获取web服务器权限

此时我们已经获取得到webshell，根据操作系统版本可以使用脏牛提权得到web服务器权限。
上传reverse_shell.pl到服务器：

上传reverse_shell_pl.jpg
执行perl脚本.jpg
成功反弹shell.jpg

获取交互式shell

反弹得到的shell是一个terminal，而不是一个交互式shell，执行python -c 'import pty;pty.spawn("/bin/sh")'，得到交互式shell

交互式shell.jpg

获取服务器权限

上传dirty.c到/tmp目录下，执行dirty.c进行脏牛提权：

脏牛提权.jpg
脏牛提权成功.jpg

内网渗透代理隧道

得到服务器权限，继续渗透内网，建立web隧道对内网进行探测，使用tunnel_nosocket.php+proxychains：

web隧道.jpg
web隧道建立成功.jpg

通过web代理隧道nmap扫描发现10.10.10.130主机和10.10.10.254:

nampC段扫描结果.png

使用ms08067攻击10.10.10.130服务器

ms08067攻击成功.png hashdump获取hash.png
破解hash得到密码.png
远程连接130服务器.png

hydra爆破254服务器密码

hydra爆破密码.png
爆破成功.png

收集内网信息

last查看登录信息，可以看出有192.168.10网段存在

last查看登录信息.png

还可以通过uname -a , /etc/issue, 网络配置信息，ifconfig, 历史命令等来收集信息

收集内网信息.png

通过网关服务器搭建代理进入192.168.10网段

我们现在使用的80隧道可以访问10段的DMZ区，但是由于防火墙策略无法通过socket直接访问192网段，但是我们已经得到网关的用户名密码，尝试通过254网关代理得到

两层代理进入192网段.png

kali的3333端口与10.10.10.254主机建立隧道，现在kali可以直接连接本机3333端口连接到254主机

连接kali的3333端口.png

扫描192网段内网主机

ms17010永恒之蓝攻击win7主机

上传远控服务端并执行，等待上线

攻击内内网xp主机

上传远控并执行，等待上线

总结