CyberStrikeLab-Gear 渗透测试实战教学文档<\/h1>

1. 初始信息收集与DNS解析<\/h2>

DNS解析问题<\/strong>：<\/p>

发现DNS解析失败，但观察到DNS服务器地址172.10.59.35<\/li>
修改\/etc\/resolv.conf<\/code>添加该DNS服务器： nameserver 172.10.59.35 <\/code><\/pre> <\/li> 重启DNS服务使配置生效<\/li> <\/ul> <\/li> 目标识别<\/strong>：<\/p> 发现CMS Made Simple运行在80端口<\/li> 确认存在SQL注入漏洞<\/li> <\/ul> <\/li> <\/ol> 2. CMS Made Simple漏洞利用<\/h2> 已知漏洞<\/strong>：<\/p> CVE-2021-26120<\/li> CVE-2019-9053<\/li> <\/ul> <\/li> 利用步骤<\/strong>：<\/p> 通过SQL注入获取密码重置token<\/li> 使用token重置管理员密码<\/li> 成功登录后台后执行RCE<\/li> <\/ul> <\/li> 自动化脚本<\/strong>：<\/p> 使用专用脚本执行时间盲注(-t参数指定时间)<\/li> 成功获取账号密码均为cslab<\/code><\/li> <\/ul> <\/li> <\/ol> 3. 权限维持与绕过防御<\/h2> Webshell上传<\/strong>：<\/p> 普通一句话木马被杀<\/li> 发现存在Windows Defender<\/li> 使用免杀马绕过检测<\/li> <\/ul> <\/li> 文件系统检查<\/strong>：<\/p> 检查web目录无特别发现<\/li> 发现config.php<\/code>文件<\/li> <\/ul> <\/li> <\/ol> 4. 权限提升<\/h2> 提权方法<\/strong>：<\/p> 利用ImpersonatePrivilege直接提权<\/li> 获取flag1: 2babd46497f956dff3b094cf4d462109<\/code><\/li> <\/ul> <\/li> 网络发现<\/strong>：<\/p> ipconfig<\/code>显示另一网卡地址172.10.68.20<\/li> <\/ul> <\/li> <\/ol> 5. 横向移动<\/h2> 代理设置<\/strong>：<\/p> 使用chisel建立socks代理<\/li> <\/ul> <\/li> 新目标发现<\/strong>：<\/p> 扫描发现172.10.68.30:8088存在用友BSH RCE漏洞<\/li> 8080端口存在用友BSH RCE<\/li> <\/ul> <\/li> Webshell写入<\/strong>：<\/p> Web根目录位于webapps\/u8c_web<\/code><\/li> 将webshell预先写入入口机器的web目录<\/li> 成功绕过AV检测(Windows Defender)<\/li> <\/ul> <\/li> 凭证获取<\/strong>：<\/p> 发现桌面pass.txt<\/code>文件<\/li> 获取RDP凭证：用户rdp-3389<\/code>，密码来自pass.txt<\/code><\/li> <\/ul> <\/li> <\/ol> 6. 域环境渗透<\/h2> 新网段发现<\/strong>：<\/p> ipconfig<\/code>显示新网段<\/li> 使用mimikatz获取凭证<\/li> 获取flag2<\/li> <\/ul> <\/li> 二级代理建立<\/strong>：<\/p> 在172.10.68.20执行<\/li> 在172.10.68.30执行<\/li> <\/ul> <\/li> TeamViewer利用<\/strong>：<\/p> 扫描发现10.0.0.58<\/li> TeamViewer凭证：tm@cslab<\/code><\/li> 管理员密码：24d@cs1<\/code><\/li> 获取flag3<\/li> <\/ul> <\/li> <\/ol> 7. 非预期解：ZeroLogon攻击<\/h2> 目标识别<\/strong>：<\/p> 10.0.0.60 - dc.cyberstrikelab.com<\/li> <\/ul> <\/li> 攻击步骤<\/strong>：<\/p> 使用zerologon_tester.py测试漏洞<\/li> 执行exploit清空DC$的hash<\/li> 使用dcsync dump注册表<\/li> 使用reinstall_original_pw.py恢复密码<\/li> 获取flag4和flag5<\/li> <\/ul> <\/li> <\/ol> 8. 预期解：域渗透<\/h2> 用户枚举<\/strong>：<\/p> 发现域用户：cslab<\/code>和tom<\/code><\/li> tom密码：qwe!@#123<\/code><\/li> <\/ul> <\/li> BloodHound分析<\/strong>：<\/p> 无直接可利用路径<\/li> <\/ul> <\/li> Kerberos攻击<\/strong>：<\/p> getUsersSPN无结果<\/li> 发现CYBERWEB$可进行非约束委派攻击<\/li> <\/ul> <\/li> 凭证发现<\/strong>：<\/p> 在10.0.0.61回收站发现3.bat文件<\/li> 包含tom密码信息<\/li> cyberweb$密码与tom相同<\/li> <\/ul> <\/li> PetitPotam攻击<\/strong>：<\/p> 强制DC$向CYBERWEB$<\/span>发起认证<\/li> 成功获取DC$票据<\/li> 执行dcsync获取cifs、ldap、host票据<\/li> <\/ul> <\/li> <\/ol> 9. 关键工具与命令<\/h2> 常用工具<\/strong>：<\/p> chisel (代理)<\/li> mimikatz (凭证获取)<\/li> fscan (内网扫描)<\/li> BloodHound (域分析)<\/li> PetitPotam (NTLM中继攻击)<\/li> <\/ul> <\/li> 关键命令<\/strong>：<\/p> DNS配置修改<\/li> SQL注入脚本执行<\/li> Webshell上传与执行<\/li> 权限提升命令<\/li> 域渗透相关命令<\/li> <\/ul> <\/li> <\/ol> 10. 总结<\/h2> 本渗透测试涉及多个攻击面和技术点：<\/p> Web应用漏洞利用(SQLi→RCE)<\/li> 权限维持与绕过AV<\/li> 内网横向移动<\/li> 域环境渗透(非约束委派、PetitPotam攻击)<\/li> 特权提升与凭证窃取<\/li> <\/ol> 关键点在于发现和利用非约束委派配置，通过PetitPotam强制认证最终获取域控权限。<\/p>