CyberStrikeLab-SweetCake 渗透测试教学文档

概述

本文档详细记录了针对CyberStrikeLab-SweetCake靶场的渗透测试过程，包含五个flag的获取方法和技术要点。

第一层渗透

目录扫描

• 目标目录较难扫描，需要耐心和精确的扫描技术
• 成功扫描到关键目录后可直接发起攻击

提权与访问

1. 使用badpotato进行提权
2. 提权成功后新建用户并登录
3. 重要：需要关闭防火墙，否则反向连接无法上线

获取flag1

• 直接读取flag1文件
• 注意防火墙设置是成功的关键

第二层渗透（通达OA系统）

初始攻击

• 针对某达OA系统发起攻击
• 直接使用自动化工具攻击但命令执行失败

数据库提权

1. 利用通达OA的数据库漏洞提权
2. 获取数据库凭据：root/HvaaOUr6n^v_dyw@0YjA`
3. 在MySQL目录下操作：
   • 创建lib和plugin目录（原目录不存在）
   • 移入lib_mysqludf_sys.dll文件
   • 注意：sqlmap自带的dll文件默认做了混淆，需要使用其自带的cloak工具转换后才能使用

执行提权

1. 使用badpotato提权
2. 靶机性能问题：
   • 命令响应极慢（约半分钟才有回显）
   • 编码问题导致命令执行可能报错
3. 解决方案：
   • 将命令写入1.bat文件
   • 使用badpotato执行该批处理文件
4. 最后通过RDP连接并读取flag

第三层渗透（JeecgBoot）

漏洞利用

• 目标：http://172.30.58.79:8085
• 漏洞类型：JeecgBoot AviatorScript表达式注入漏洞

攻击方法

1. 利用漏洞打入内存马
2. 直接读取flag

第四层渗透（Xshell利用）

发现与利用

1. 在172.30.58.79上发现Xshell存在
2. 新建用户后登录Xshell出现空白问题
3. 解决方法：
   • 从计划任务中dump出administrator的明文密码
   • 直接以administrator身份连接

获取flag

• 成功连接Xshell后可直接获取flag

第五层渗透（MS17-010）

漏洞利用

• 使用永恒之蓝漏洞(MS17-010)进行攻击
• 成功利用后获取最终flag

技术要点总结

1. 目录扫描：耐心是关键，精确扫描可发现隐藏入口
2. 防火墙设置：反向连接前必须关闭防火墙
3. MySQL UDF提权：
   • 需要特定目录结构
   • 注意dll文件处理（cloak工具使用）
4. 性能问题应对：
   • 高延迟环境下使用批处理文件
   • 注意编码问题可能导致命令失败
5. 凭证获取：
   • 从计划任务中提取明文密码
   • 数据库配置文件是重要信息来源
6. 漏洞利用多样性：
   • AviatorScript表达式注入
   • 永恒之蓝漏洞利用

工具清单

1. badpotato - 用于Windows提权
2. sqlmap - 提供UDF dll文件（需使用cloak工具处理）
3. MS17-010利用工具 - 用于永恒之蓝漏洞利用
4. 内存马注入工具 - 用于JeecgBoot漏洞利用

防御建议

1. 及时修补已知漏洞（如MS17-010、JeecgBoot漏洞）
2. 加强目录访问控制
3. 避免在计划任务中存储明文密码
4. 限制数据库权限，特别是UDF功能
5. 保持防火墙开启并正确配置
6. 对表达式注入漏洞进行输入过滤