cyberstrikelab—Pearl
字数 2175 2025-08-06 18:07:56

CyberStrikeLab-Pearl 渗透测试实战教学文档

1. 第一台机器渗透过程

1.1 初始信息收集

  • 连接OpenVPN后自动跳转到192.168.10.65
  • 识别系统为理想CMS

1.2 漏洞发现与利用

  • 发现梦想CMS 1.4版本存在前台SQL注入漏洞(报错注入)
  • 存在安全狗防护,需绕过:
    • 使用两次URL编码绕过(%25%33%32%25%33%36)

1.3 SQL注入攻击

  • 手动注入发现表较多,改用Burp爆破
  • 设置爆破位置为第26位,payload范围1-50
  • 发现30个表,重点爆破lmx_user字段
  • 获取账号admin和密码hash
  • 密码实际为弱口令admin123(MD5解密失败但弱口令成功)

1.4 后台文件上传漏洞

  • 后台存在文件上传功能
  • 安全狗会拦截一句话木马
  • 使用狐狸工具箱的弱鸡webshell免杀工具
  • 对webshell进行一次URL编码后上传
  • 使用蚁剑或哥斯拉连接

1.5 权限提升与持久化

  • 查看杀软情况
  • 结束安全狗进程
  • 上线Cobalt Strike
  • 使用烂土豆提权
  • 开启3389端口
  • 添加后门用户(test$)
  • 通过远程桌面连接

2. 第二台机器渗透过程

2.1 信息收集

  • 发现双网卡
  • 发现MySQL弱口令

2.2 UDF提权尝试

  • 使用MDUT工具进行UDF提权
    • GitHub项目:
      • https://github.com/SafeGroceryStore/MDUT
      • https://github.com/DeEpinGh0st/MDUT-Extend-Release
  • 目标机缺少wget和curl
  • 采用分段传输文件方法:
    • 文件转Hex
    • 分段传输后重组
    • 参考:https://mp.weixin.qq.com/s/LFM1btXXrsO4aGj_LU7tvg

2.3 横向移动尝试

  • 正向和反向连接均失败
  • 使用Stowaway作为C2工具
    • 具备文件传输功能
  • 未发现其他网段
  • 怀疑Docker环境,尝试逃逸:
    • 使用CDK扫描
    • 尝试脏牛提权/逃逸(失败)
    • 参考:https://mp.weixin.qq.com/s/ldxbx3HH0RANciHhKxI5Vw

3. 第三台机器渗透过程

3.1 全端口扫描

  • 发现RDP免密登录可能性
  • 在C盘发现RDP连接记录

3.2 凭据提取

  • 使用netpass工具抓取凭据

  • 发现两个关键凭据文件位置:

    1. C:\Users\Administrator\AppData\Local\Microsoft\Credentials\F18D03964B3469BAEA4542A7792D663B
    2. C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Credentials\F7A11901B817E047275D06BDB5BAF712

  • 使用mimikatz解密流程:

    1. 获取guidMasterKey
    2. 根据guidMasterKey找到对应Masterkey
    3. 使用MasterKey解密pbData数据
    • 第一个凭据解密结果为假
    • 系统账户凭据解密成功

3.3 远程桌面连接

  • 使用获取的凭据免密登录Administrator用户
  • 成功连接172.32.50.33
  • 关闭Defender

4. 第四台机器渗透过程

4.1 信息收集

  • 发现Redis弱口令

4.2 Redis利用方式

  1. 定时任务反弹shell

    • 上传nc到Windows机器
    • 手动编写定时任务
    • 参考:https://www.cnblogs.com/miruier/p/14497405.html
    • 反弹成功

  2. 主从复制RCE

    • 使用RabR工具进行主从复制攻击
    • 需要靶机可连接的服务器(使用172.32.50.33做跳板)
    • 上传Python安装包到靶机
    • GitHub项目:https://github.com/0671/RabR

  3. SSH公钥替换

    • 靶机无.ssh目录,需手动创建
    • 写入公钥实现免密登录

5. 第五台机器渗透过程

5.1 信息收集

  • 可用端口:445和5985
  • 非域环境,无web服务

5.2 密码爆破

  • 解密前两台机器的凭据文件
  • 获取密码提示"qwe开头"
  • 使用grep过滤密码字典
    • 参考:https://blog.csdn.net/2301_77766925/article/details/141626965
  • 密码喷洒成功:qwe!@#123

5.3 最终利用

  • 使用evil-winrm连接
  • 使用psexec获取权限

关键工具与技术总结

  1. 绕过技术

    • 两次URL编码绕过安全狗
    • webshell免杀技术

  2. 提权技术

    • 烂土豆提权
    • UDF提权
    • 脏牛提权(尝试)

  3. 横向移动

    • 凭据提取与重用
    • Stowaway多层代理
    • Psexec远程执行

  4. 特殊技术

    • Redis主从复制RCE
    • 分段文件传输与重组
    • Windows凭据解密

  5. 实用工具

    • MDUT (MySQL利用工具)
    • CDK (容器渗透工具)
    • RabR (Redis主从复制利用)
    • Stowaway (多层代理工具)

本教学文档完整还原了CyberStrikeLab-Pearl靶场的渗透过程,涵盖了从外网打点到内网横向的各种技术手段,特别注重实际环境中的绕过技术和多层网络穿透方法。

CyberStrikeLab-Pearl 渗透测试实战教学文档 1. 第一台机器渗透过程 1.1 初始信息收集 连接OpenVPN后自动跳转到192.168.10.65 识别系统为理想CMS 1.2 漏洞发现与利用 发现梦想CMS 1.4版本存在前台SQL注入漏洞(报错注入) 存在安全狗防护,需绕过: 使用两次URL编码绕过(%25%33%32%25%33%36) 1.3 SQL注入攻击 手动注入发现表较多,改用Burp爆破 设置爆破位置为第26位,payload范围1-50 发现30个表,重点爆破lmx_ user字段 获取账号admin和密码hash 密码实际为弱口令admin123(MD5解密失败但弱口令成功) 1.4 后台文件上传漏洞 后台存在文件上传功能 安全狗会拦截一句话木马 使用狐狸工具箱的弱鸡webshell免杀工具 对webshell进行一次URL编码后上传 使用蚁剑或哥斯拉连接 1.5 权限提升与持久化 查看杀软情况 结束安全狗进程 上线Cobalt Strike 使用烂土豆提权 开启3389端口 添加后门用户(test$) 通过远程桌面连接 2. 第二台机器渗透过程 2.1 信息收集 发现双网卡 发现MySQL弱口令 2.2 UDF提权尝试 使用MDUT工具进行UDF提权 GitHub项目: https://github.com/SafeGroceryStore/MDUT https://github.com/DeEpinGh0st/MDUT-Extend-Release 目标机缺少wget和curl 采用分段传输文件方法: 文件转Hex 分段传输后重组 参考:https://mp.weixin.qq.com/s/LFM1btXXrsO4aGj_ LU7tvg 2.3 横向移动尝试 正向和反向连接均失败 使用Stowaway作为C2工具 具备文件传输功能 未发现其他网段 怀疑Docker环境,尝试逃逸: 使用CDK扫描 尝试脏牛提权/逃逸(失败) 参考:https://mp.weixin.qq.com/s/ldxbx3HH0RANciHhKxI5Vw 3. 第三台机器渗透过程 3.1 全端口扫描 发现RDP免密登录可能性 在C盘发现RDP连接记录 3.2 凭据提取 使用netpass工具抓取凭据 发现两个关键凭据文件位置: C:\Users\Administrator\AppData\Local\Microsoft\Credentials\F18D03964B3469BAEA4542A7792D663B C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Credentials\F7A11901B817E047275D06BDB5BAF712 使用mimikatz解密流程: 获取guidMasterKey 根据guidMasterKey找到对应Masterkey 使用MasterKey解密pbData数据 第一个凭据解密结果为假 系统账户凭据解密成功 3.3 远程桌面连接 使用获取的凭据免密登录Administrator用户 成功连接172.32.50.33 关闭Defender 4. 第四台机器渗透过程 4.1 信息收集 发现Redis弱口令 4.2 Redis利用方式 定时任务反弹shell 上传nc到Windows机器 手动编写定时任务 参考:https://www.cnblogs.com/miruier/p/14497405.html 反弹成功 主从复制RCE 使用RabR工具进行主从复制攻击 需要靶机可连接的服务器(使用172.32.50.33做跳板) 上传Python安装包到靶机 GitHub项目:https://github.com/0671/RabR SSH公钥替换 靶机无.ssh目录,需手动创建 写入公钥实现免密登录 5. 第五台机器渗透过程 5.1 信息收集 可用端口:445和5985 非域环境,无web服务 5.2 密码爆破 解密前两台机器的凭据文件 获取密码提示"qwe开头" 使用grep过滤密码字典 参考:https://blog.csdn.net/2301_ 77766925/article/details/141626965 密码喷洒成功:qwe !@#123 5.3 最终利用 使用evil-winrm连接 使用psexec获取权限 关键工具与技术总结 绕过技术 : 两次URL编码绕过安全狗 webshell免杀技术 提权技术 : 烂土豆提权 UDF提权 脏牛提权(尝试) 横向移动 : 凭据提取与重用 Stowaway多层代理 Psexec远程执行 特殊技术 : Redis主从复制RCE 分段文件传输与重组 Windows凭据解密 实用工具 : MDUT (MySQL利用工具) CDK (容器渗透工具) RabR (Redis主从复制利用) Stowaway (多层代理工具) 本教学文档完整还原了CyberStrikeLab-Pearl靶场的渗透过程,涵盖了从外网打点到内网横向的各种技术手段,特别注重实际环境中的绕过技术和多层网络穿透方法。