CyberStrikeLab-Gear 渗透测试实战教学文档

1. 初始信息收集与DNS解析

DNS解析问题：
- 发现DNS解析失败，但观察到DNS服务器地址172.10.59.35
- 修改/etc/resolv.conf添加该DNS服务器：
```
nameserver 172.10.59.35
```
- 重启DNS服务使配置生效
目标识别：
- 发现CMS Made Simple运行在80端口
- 确认存在SQL注入漏洞

2. CMS Made Simple漏洞利用

已知漏洞：
- CVE-2021-26120
- CVE-2019-9053
利用步骤：
- 通过SQL注入获取密码重置token
- 使用token重置管理员密码
- 成功登录后台后执行RCE
自动化脚本：
- 使用专用脚本执行时间盲注(-t参数指定时间)
- 成功获取账号密码均为cslab

3. 权限维持与绕过防御

Webshell上传：
- 普通一句话木马被杀
- 发现存在Windows Defender
- 使用免杀马绕过检测
文件系统检查：
- 检查web目录无特别发现
- 发现config.php文件

4. 权限提升

提权方法：
- 利用ImpersonatePrivilege直接提权
- 获取flag1: 2babd46497f956dff3b094cf4d462109
网络发现：
- ipconfig显示另一网卡地址172.10.68.20

5. 横向移动

代理设置：
- 使用chisel建立socks代理
新目标发现：
- 扫描发现172.10.68.30:8088存在用友BSH RCE漏洞
- 8080端口存在用友BSH RCE
Webshell写入：
- Web根目录位于webapps/u8c_web
- 将webshell预先写入入口机器的web目录
- 成功绕过AV检测(Windows Defender)
凭证获取：
- 发现桌面pass.txt文件
- 获取RDP凭证：用户rdp-3389，密码来自pass.txt

6. 域环境渗透

新网段发现：
- ipconfig显示新网段
- 使用mimikatz获取凭证
- 获取flag2
二级代理建立：
- 在172.10.68.20执行
- 在172.10.68.30执行
TeamViewer利用：
- 扫描发现10.0.0.58
- TeamViewer凭证：tm@cslab
- 管理员密码：24d@cs1
- 获取flag3

7. 非预期解：ZeroLogon攻击

目标识别：
- 10.0.0.60 - dc.cyberstrikelab.com
攻击步骤：
- 使用zerologon_tester.py测试漏洞
- 执行exploit清空DC$的hash
- 使用dcsync dump注册表
- 使用reinstall_original_pw.py恢复密码
- 获取flag4和flag5

8. 预期解：域渗透

用户枚举：
- 发现域用户：cslab和tom
- tom密码：qwe!@#123
BloodHound分析：
- 无直接可利用路径
Kerberos攻击：
- getUsersSPN无结果
- 发现CYBERWEB$可进行非约束委派攻击
凭证发现：
- 在10.0.0.61回收站发现3.bat文件
- 包含tom密码信息
- cyberweb$密码与tom相同
PetitPotam攻击：
- 强制DC$向CYBERWEB$发起认证
- 成功获取DC$票据
- 执行dcsync获取cifs、ldap、host票据

9. 关键工具与命令

常用工具：
- chisel (代理)
- mimikatz (凭证获取)
- fscan (内网扫描)
- BloodHound (域分析)
- PetitPotam (NTLM中继攻击)
关键命令：
- DNS配置修改
- SQL注入脚本执行
- Webshell上传与执行
- 权限提升命令
- 域渗透相关命令

10. 总结

本渗透测试涉及多个攻击面和技术点：

Web应用漏洞利用(SQLi→RCE)
权限维持与绕过AV
内网横向移动
域环境渗透(非约束委派、PetitPotam攻击)
特权提升与凭证窃取

关键点在于发现和利用非约束委派配置，通过PetitPotam强制认证最终获取域控权限。

CyberStrikeLab-Gear 渗透测试实战教学文档 1. 初始信息收集与DNS解析 DNS解析问题：发现DNS解析失败，但观察到DNS服务器地址172.10.59.35 修改 /etc/resolv.conf 添加该DNS服务器：重启DNS服务使配置生效目标识别：发现CMS Made Simple运行在80端口确认存在SQL注入漏洞 2. CMS Made Simple漏洞利用已知漏洞： CVE-2021-26120 CVE-2019-9053 利用步骤：通过SQL注入获取密码重置token 使用token重置管理员密码成功登录后台后执行RCE 自动化脚本：使用专用脚本执行时间盲注(-t参数指定时间) 成功获取账号密码均为 cslab 3. 权限维持与绕过防御 Webshell上传：普通一句话木马被杀发现存在Windows Defender 使用免杀马绕过检测文件系统检查：检查web目录无特别发现发现 config.php 文件 4. 权限提升提权方法：利用ImpersonatePrivilege直接提权获取flag1: 2babd46497f956dff3b094cf4d462109 网络发现： ipconfig 显示另一网卡地址172.10.68.20 5. 横向移动代理设置：使用chisel建立socks代理新目标发现：扫描发现172.10.68.30:8088存在用友BSH RCE漏洞 8080端口存在用友BSH RCE Webshell写入： Web根目录位于 webapps/u8c_web 将webshell预先写入入口机器的web目录成功绕过AV检测(Windows Defender) 凭证获取：发现桌面 pass.txt 文件获取RDP凭证：用户 rdp-3389 ，密码来自 pass.txt 6. 域环境渗透新网段发现： ipconfig 显示新网段使用mimikatz获取凭证获取flag2 二级代理建立：在172.10.68.20执行在172.10.68.30执行 TeamViewer利用：扫描发现10.0.0.58 TeamViewer凭证： tm@cslab 管理员密码： 24d@cs1 获取flag3 7. 非预期解：ZeroLogon攻击目标识别： 10.0.0.60 - dc.cyberstrikelab.com 攻击步骤：使用zerologon_ tester.py测试漏洞执行exploit清空DC$的hash 使用dcsync dump注册表使用reinstall_ original_ pw.py恢复密码获取flag4和flag5 8. 预期解：域渗透用户枚举：发现域用户： cslab 和 tom tom密码： qwe!@#123 BloodHound分析：无直接可利用路径 Kerberos攻击： getUsersSPN无结果发现CYBERWEB$可进行非约束委派攻击凭证发现：在10.0.0.61回收站发现3.bat文件包含tom密码信息 cyberweb$密码与tom相同 PetitPotam攻击：强制DC$向CYBERWEB$发起认证成功获取DC$票据执行dcsync获取cifs、ldap、host票据 9. 关键工具与命令常用工具： chisel (代理) mimikatz (凭证获取) fscan (内网扫描) BloodHound (域分析) PetitPotam (NTLM中继攻击) 关键命令： DNS配置修改 SQL注入脚本执行 Webshell上传与执行权限提升命令域渗透相关命令 10. 总结本渗透测试涉及多个攻击面和技术点： Web应用漏洞利用(SQLi→RCE) 权限维持与绕过AV 内网横向移动域环境渗透(非约束委派、PetitPotam攻击) 特权提升与凭证窃取关键点在于发现和利用非约束委派配置，通过PetitPotam强制认证最终获取域控权限。