2026-02-10 14:37:38 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了在Docker复杂环境下进行内网渗透的完整过程。攻击者首先通过SQL注入和XXE漏洞获取初始权限，发现Jeecg-Boot系统并利用RCE漏洞获取Shell。由于目标环境严格限制出网，使用特制版哥斯拉植入内存马。确认处于Docker环境后，通过sou5内存马建立隧道进入内网，使用fscan扫描发现Druid未授权、SwaggerAPI注入、S2漏洞、永恒之蓝等多个漏洞，最终控制多台Linux/Windows主机及数据库，突破内网隔离进入不同网段。 综合评分： 78 文章分类： 内网渗透,红队,漏洞分析,实战经验,渗透测试

cover_image

记docker复杂环境下的内网打点

原创

zkaq-syst1m zkaq-syst1m

掌控安全EDU

2026年2月9日 13:57 江西

扫码领资料

获网安教程

本文由掌控安全学院 – syst1m投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）****

一.前言：

本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的；文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。

小项目，每次都会在群里面找两个学员一起打，带他们积累经验：

二.大概流程

1. 外网打点

漏洞利用
通过1Day SQL注入（MySQL）和XXE漏洞获取初始权限。
发现隐藏资产（/jmreport），确认为Jeecg-Boot系统，利用已知RCE漏洞获取Shell。
反弹Shell受阻
目标环境严格限制出网，常规反弹Shell失败。
尝试多种内存马注入工具，最终使用特制版哥斯拉成功植入内存马。

2. 进入Docker环境

确认环境
发现当前Shell处于Docker容器内，且无法逃逸。
手动打入sou5内存马，建立隧道（如Socks5代理）进入Docker内网。
内网侦察
使用webshell工具自带的端口扫描探测内网存活主机。
通过fscan快速扫描内网资产，发现多个开放服务（MySQL、MSSQL、Web等）。

3. 内网横向渗透

（1）数据库攻陷

MySQL
发现Druid未授权访问（但无近期登录记录）。
通过Swagger API接口报错注入获取MySQL root密码。
破解哈希后尝试连接，但目标数据库限制外部访问。
MSSQL
通过密码复用进入MSSQL服务器，但目标不出网，无法进一步利用。

（2）系统攻陷

Linux主机
利用S2漏洞攻陷一台Linux服务器（不出网）。
发现多台SSH弱口令主机（无法出网）。
Windows主机
利用永恒之蓝（MS17-010）攻陷一台Windows机器。
抓取密码，尝试突破内网隔离进入其他网段。

（3）突破隔离

通过已攻陷的Windows主机作为跳板，进入内网其他隔离网段。
继续扫描新网段，发现更多弱口令和未授权访问漏洞。

4. 最终成果

控制多台内网主机（Linux、Windows、数据库）。
获取多个高权限账户（MySQL root、MSSQL sa、SSH弱口令）。
突破内网隔离，进入不同网段。

三.正文

3.1外网打点

群里师傅拿下的点

登陆口1day注入，mysql

xxe

外网还有很多小的点，没权限懒的写

3.2隐藏资产

开头拿到资产，对资产做全端口扫描的时候，发现存在一个端口，但是访问404

本着不放过每一个地方的原则，扫了目录，发现几个路径

/jmreport/save
/jmreport/xxxx

一开始没认出来是什么东西，访问全部无权限，继续对二级目录扫描，发现积木报表

jeecg-boot直接梭哈，rce有了

3.3坑点

反弹shell的时候，发现根本弹不回来，根本不出网，同时为jar包部署，除了内存马别无选择了

但是使用工具梭哈的时候，根本打不进去

3.4手工打入内存马

没办法只能手动打内存马了，最开始试了各种内存马各种办法，发现都打不进去，最后突然想起来以前有用特战版哥斯拉一样的情况，也可能是被拦截了，最后换了个版本的哥斯拉，成功拿下

3.5docker下内网横向

进来后发是docker环境，且无法逃逸，继续手动打sou5内存马开出隧道，我只能说jmg yyds

用 cs 自带的端口扫描扫一下

成功代理进docker网段

没什么好说的，丢fscan直接上去扫就完了，linux下都不用做免杀

捡到一个druid未授权，但是什么用了最近登陆时间为24年，直接放弃，看向swagger，丢给apikit自动fuzz

大部分都是401

但还是有接口报错mysql，简单手注拿到root，同时拿到新的资产，100段

丢sqlmap开始跑出root密码，丢md5解开，但是问题来了，死活连不上，查看数据库是可以任意ip连接的，同时端口也是3306，没办法只能换下一台

继续丢fscan扫新的网段资产，通过密码复用打下一批数据库，其中有一个mssql，可惜不出网

mssql rce，不出网

s2漏洞拿下一台，不出网linux

永恒之蓝拿下一台，不出网win

msf添加代理

setg Proxies socks5:127.0.0.1:1080
setg ReverseAllowProxy true

不出网，但是抓到密码了

两台弱口令ssh，不出网

内网还有n多弱口令。。。还有其他网段，通过永恒之蓝拿下的windows可以突破内网隔离，进入内网其他隔离网段，内网web没有细打，拿了一批弱口令的，到时间了就没打了。一直没打到出网机加上docker又是小水管，很卡，非常折磨，就这样吧，打了个七七八八

四.参考文章

打的不够爽，附赠一篇之前的内网文章：《某地级市三甲医院从sql注入到内网漫游》

https://mp.weixin.qq.com/s/A-qatz9MRVrXgNANeqdlpA

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

我与红队：一场网络安全实战的较量与成长

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-syst1m zkaq-syst1m《记docker复杂环境下的内网打点》