cyberstrikelab—EVA&database&PRIV&PT
字数 2541 2025-08-29 08:30:19

CyberStrikeLab 渗透测试实战教学文档

1. EVA 系列靶机渗透

EVA-1 渗透过程

  1. 初始发现

    • 发现一个文件上传点
    • 使用哥斯拉生成ASP木马
    • 直接上传成功(无过滤)

  2. 后门访问

    • 扫描目录发现上传路径:http://10.0.0.95/uploads/shell.asp
    • 使用掩日本地分离免杀技术(需生成C语言的payload)

  3. 权限提升

    • 成功上线Cobalt Strike
    • 使用烂土豆(Rotten Potato)提权
    • 抓取系统hash

EVA-2 渗透过程

  1. 目录扫描

    • 发现上传点
    • 使用哥斯拉特战版生成aspx木马

  2. 绕过杀软

    • 发现卡巴斯基杀毒软件拦截
    • 使用掩日分离免杀技术绕过

  3. 权限提升

    • 直接dumphash会报错
    • 改用离线dump注册表方式
    • 尝试远程桌面连接关闭卡巴斯基

2. PRIV 系列靶机渗透

PRIV-1 渗透过程

  1. 信息收集

    • 通过目录扫描发现SiteServer CMS系统
    • 确认版本信息(5.0及以下版本)

  2. 漏洞利用

    • 利用SiteServer CMS远程模板下载Getshell漏洞
    • 漏洞原理:后台模板下载位置未校验权限,downloadUrl参数可控
    • 默认SecretKey:vEnfkn16t8aeaZKG3a4Gl9UUlzf4vgqU9xwh8ZV5

  3. 木马上传

    • 创建poxteam.zip木马文件
    • 使用C#修改_inputString值生成加密下载链接
    • Python混淆生成转义后的下载链接

  4. 后门访问

    • WebShell路径:http://192.168.1.16/SiteFiles/SiteTemplates/sectest/include.aspx
    • 密码:admin

  5. 权限提升

    • 发现有Windows Defender
    • 使用掩日分离免杀
    • 上线Cobalt Strike后使用烂土豆提权

PRIV-2 渗透过程

  • 使用mdut直接连接
  • 激活组件进行土豆提权

PRIV-7 渗透过程

  1. 信息收集

    • 发现极致CMS系统
    • 扫描发现后台地址

  2. 漏洞利用

    • 注册普通用户账号
    • 发现头像位置存在任意文件上传漏洞
    • 直接上传PHP木马

  3. 后门访问

    • 木马路径:http://192.168.111.200/Public/Home/202502038044.php
    • 使用蚁剑连接
    • /home/apche目录下发现flag1

  4. 权限提升

    • 检查sudo suid未发现可利用点
    • 使用msf生成Linux后门
    • 利用msf自带功能扫描提权点并成功利用第一个

PRIV-8 渗透过程

  1. 初始访问

    • 爆破admin密码为123456(有次数限制)
    • 确认版本为4.7.8

  2. 漏洞利用

    • 制作图片马
    • 在管理图片处上传
    • 通过语言设置抓包,参数保存于\data\settings\langpref.php

  3. 权限提升

    • 使用msf生成Linux后门
    • 利用msf扫描提权点并成功利用第一个

3. Database 系列靶机渗透

Database-2 渗透过程

  1. 初始访问

    • 爆破得到账号密码
    • 使用mdut连接

  2. 权限提升

    • 尝试UDF提权
    • 上传后门文件时发现杀软
    • 本地搭建HTTP服务传输文件
    • 上线Cobalt Strike后使用烂土豆提权

Database-3 渗透过程

  1. 信息收集

    • 扫描发现1433端口MSSQL数据库
    • 爆破出账号密码

  2. 漏洞利用

    • 使用mdut连接
    • 激活组件执行命令

Database-4 渗透过程

  • 直接连接即可获取flag,无需提权

Database-5 渗透过程

  • 信息有限,需进一步测试

4. PT 系列靶机渗透

PT-14 渗透过程

  1. 漏洞利用

    • 参考公开EXP执行命令
    • 上传一句话木马连接
    • 修改EXP中的地址和密码

  2. 后门访问

    • 地址:http://10.0.0.26:8080/backdoor.jsp
    • 密码:passwd
    • 无杀软,直接使用烂土豆提权

PT-15 渗透过程

  1. 信息收集

    • 发现ThinkPHP框架
    • 存在命令执行漏洞

  2. 漏洞利用

    • 直接写马
    • 发现存在杀软

  3. 绕过防御

    • 使用掩日分离免杀技术
    • 成功提权

5. CVE-2024-23897 Jenkins漏洞利用

  1. 漏洞背景

    • Jenkins CLI 任意文件读取漏洞
    • 影响使用args4j库解析CLI命令参数的版本
    • 可读取控制器文件系统上的任意文件

  2. 初始信息

    • 提供密码:cslab
    • 无密码时需爆破

  3. 漏洞利用

    • 使用公开EXP直接读取文件
    • 非预期解:直接读取/tmp/flag.txt

  4. 预期解

    • 读取用户文件:/var/jenkins_home/users/users.xml
    • 定位admin用户文件夹:/var/jenkins_home/users/admin_13599384669723102664
    • 读取config.xml获取密码哈希
    • 登录后通过脚本管理页面反弹shell

6. 关键工具与技术总结

常用工具

  1. 哥斯拉/哥斯拉特战版:WebShell管理工具
  2. 掩日:分离免杀工具
  3. Cobalt Strike:后渗透框架
  4. mdut:数据库管理工具
  5. 蚁剑:WebShell管理工具
  6. msf(Metasploit):渗透测试框架

关键技术

  1. 文件上传绕过:多种文件类型上传技巧
  2. 分离免杀:掩日技术绕过杀软
  3. 提权技术
    • 烂土豆(Rotten Potato)提权
    • UDF提权(数据库)
    • SUID提权(Linux)
  4. 信息收集:目录扫描、版本识别
  5. 漏洞利用:多种CMS的Nday利用

常见防御绕过

  1. 杀软绕过技术
  2. 文件上传过滤绕过
  3. 命令执行限制绕过

7. 防御建议

  1. 文件上传

    • 严格限制上传文件类型
    • 对上传内容进行检测
    • 存储上传文件在非web目录

  2. 权限控制

    • 最小权限原则
    • 定期审计账户权限
    • 禁用不必要的组件和服务

  3. 系统加固

    • 及时更新补丁
    • 使用最新版本CMS/框架
    • 配置适当的杀毒软件规则

  4. 日志监控

    • 监控异常文件上传
    • 监控可疑进程创建
    • 监控特权操作

本教学文档涵盖了多种渗透测试场景和技术,从初始信息收集到最终权限提升,展示了完整的攻击链。防御方应针对这些攻击手法采取相应的防护措施。

CyberStrikeLab 渗透测试实战教学文档 1. EVA 系列靶机渗透 EVA-1 渗透过程 初始发现 : 发现一个文件上传点 使用哥斯拉生成ASP木马 直接上传成功(无过滤) 后门访问 : 扫描目录发现上传路径: http://10.0.0.95/uploads/shell.asp 使用掩日本地分离免杀技术(需生成C语言的payload) 权限提升 : 成功上线Cobalt Strike 使用烂土豆(Rotten Potato)提权 抓取系统hash EVA-2 渗透过程 目录扫描 : 发现上传点 使用哥斯拉特战版生成aspx木马 绕过杀软 : 发现卡巴斯基杀毒软件拦截 使用掩日分离免杀技术绕过 权限提升 : 直接dumphash会报错 改用离线dump注册表方式 尝试远程桌面连接关闭卡巴斯基 2. PRIV 系列靶机渗透 PRIV-1 渗透过程 信息收集 : 通过目录扫描发现SiteServer CMS系统 确认版本信息(5.0及以下版本) 漏洞利用 : 利用SiteServer CMS远程模板下载Getshell漏洞 漏洞原理:后台模板下载位置未校验权限,downloadUrl参数可控 默认SecretKey: vEnfkn16t8aeaZKG3a4Gl9UUlzf4vgqU9xwh8ZV5 木马上传 : 创建poxteam.zip木马文件 使用C#修改_ inputString值生成加密下载链接 Python混淆生成转义后的下载链接 后门访问 : WebShell路径: http://192.168.1.16/SiteFiles/SiteTemplates/sectest/include.aspx 密码:admin 权限提升 : 发现有Windows Defender 使用掩日分离免杀 上线Cobalt Strike后使用烂土豆提权 PRIV-2 渗透过程 使用mdut直接连接 激活组件进行土豆提权 PRIV-7 渗透过程 信息收集 : 发现极致CMS系统 扫描发现后台地址 漏洞利用 : 注册普通用户账号 发现头像位置存在任意文件上传漏洞 直接上传PHP木马 后门访问 : 木马路径: http://192.168.111.200/Public/Home/202502038044.php 使用蚁剑连接 在 /home/apche 目录下发现flag1 权限提升 : 检查sudo suid未发现可利用点 使用msf生成Linux后门 利用msf自带功能扫描提权点并成功利用第一个 PRIV-8 渗透过程 初始访问 : 爆破admin密码为123456(有次数限制) 确认版本为4.7.8 漏洞利用 : 制作图片马 在管理图片处上传 通过语言设置抓包,参数保存于 \data\settings\langpref.php 权限提升 : 使用msf生成Linux后门 利用msf扫描提权点并成功利用第一个 3. Database 系列靶机渗透 Database-2 渗透过程 初始访问 : 爆破得到账号密码 使用mdut连接 权限提升 : 尝试UDF提权 上传后门文件时发现杀软 本地搭建HTTP服务传输文件 上线Cobalt Strike后使用烂土豆提权 Database-3 渗透过程 信息收集 : 扫描发现1433端口MSSQL数据库 爆破出账号密码 漏洞利用 : 使用mdut连接 激活组件执行命令 Database-4 渗透过程 直接连接即可获取flag,无需提权 Database-5 渗透过程 信息有限,需进一步测试 4. PT 系列靶机渗透 PT-14 渗透过程 漏洞利用 : 参考公开EXP执行命令 上传一句话木马连接 修改EXP中的地址和密码 后门访问 : 地址: http://10.0.0.26:8080/backdoor.jsp 密码:passwd 无杀软,直接使用烂土豆提权 PT-15 渗透过程 信息收集 : 发现ThinkPHP框架 存在命令执行漏洞 漏洞利用 : 直接写马 发现存在杀软 绕过防御 : 使用掩日分离免杀技术 成功提权 5. CVE-2024-23897 Jenkins漏洞利用 漏洞背景 : Jenkins CLI 任意文件读取漏洞 影响使用args4j库解析CLI命令参数的版本 可读取控制器文件系统上的任意文件 初始信息 : 提供密码:cslab 无密码时需爆破 漏洞利用 : 使用公开EXP直接读取文件 非预期解:直接读取 /tmp/flag.txt 预期解 : 读取用户文件: /var/jenkins_home/users/users.xml 定位admin用户文件夹: /var/jenkins_home/users/admin_13599384669723102664 读取 config.xml 获取密码哈希 登录后通过脚本管理页面反弹shell 6. 关键工具与技术总结 常用工具 哥斯拉/哥斯拉特战版 :WebShell管理工具 掩日 :分离免杀工具 Cobalt Strike :后渗透框架 mdut :数据库管理工具 蚁剑 :WebShell管理工具 msf(Metasploit) :渗透测试框架 关键技术 文件上传绕过 :多种文件类型上传技巧 分离免杀 :掩日技术绕过杀软 提权技术 : 烂土豆(Rotten Potato)提权 UDF提权(数据库) SUID提权(Linux) 信息收集 :目录扫描、版本识别 漏洞利用 :多种CMS的Nday利用 常见防御绕过 杀软绕过技术 文件上传过滤绕过 命令执行限制绕过 7. 防御建议 文件上传 : 严格限制上传文件类型 对上传内容进行检测 存储上传文件在非web目录 权限控制 : 最小权限原则 定期审计账户权限 禁用不必要的组件和服务 系统加固 : 及时更新补丁 使用最新版本CMS/框架 配置适当的杀毒软件规则 日志监控 : 监控异常文件上传 监控可疑进程创建 监控特权操作 本教学文档涵盖了多种渗透测试场景和技术,从初始信息收集到最终权限提升,展示了完整的攻击链。防御方应针对这些攻击手法采取相应的防护措施。