CyberStrikeLab-Windmill(全网首发)
字数 1425 2025-09-01 11:26:17

CyberStrikeLab-Windmill 渗透测试实战教学文档

靶场环境概述

  • 本机IP: 172.16.233.2
  • 靶场拓扑: 包含多个内网系统,最终目标是域环境渗透

Flag1 - Log4j漏洞利用

漏洞发现与利用

  1. 工具准备:

    • 使用jndimap工具进行Log4j漏洞检测

  2. 测试过程:

    • 发送POC数据包测试Java版本
    • 发现是高版本Java,需要绕过限制

  3. 绕过与利用:

    • 使用绕过技术成功利用漏洞
    • 设置监听等待反弹shell

  4. 后渗透操作:

    • 远程下载木马并执行
    • 上线Cobalt Strike (CS)
    • 提权并开启RDP
    • 关闭远程连接验证
    • 抓取密码发现远程登录凭证

Flag2 - PostgreSQL数据库渗透

内网扫描与发现

  1. 代理搭建:

    • 使用gost搭建代理隧道: gost.exe -L socsk://:8001

  2. 扫描发现:

    • 发现内网PostgreSQL数据库

  3. 凭证获取:

    • 通过抓取Navicat记录获取数据库密码: cslab@2025#qw

数据库利用

  1. 连接方式:

    • 使用MDUT或Navicat连接

  2. 命令执行:

    • 插入SQL语句执行系统命令
    • 再次上线CS

  3. 提权操作:

    • 进行进程注入
    • 使用CVE-2021-40449提权
    • 抓取到系统账号

Flag3 - 凡诺CMS 2.1漏洞利用

漏洞发现

  1. 扫描发现:

    • 发现172.26.50.98运行凡诺CMS 2.1

  2. 漏洞分析:

    • 通过源码审计发现添加频道处存在文件上传漏洞

漏洞利用

  1. 上传Webshell:

    • 添加频道并上传木马
    • 利用IIS路径解析漏洞: 在文件名后添加./php使webshell解析为PHP

  2. 后渗透操作:

    • 使用蚁剑连接获取flag
    • 转发上线CS
    • 使用MS15-077提权
    • 开启RDP
    • 抓取RDP密码发现域管理员凭证

Flag4 & 5 - 域渗透与ZeroLogin漏洞

内网信息收集

  1. 发现域环境:

    • 发现10.0.0.23(域控)和10.0.0.96两台主机
    • 域名: cyberweb.cyberstrikelab.com

  2. 扫描结果:

    主机        IP          主机名      系统版本         开放服务
域控     10.0.0.23     DC       Windows Server 2016  53,88,135,139,389,445,464,593,636,3268,3269,9389,47001,5985等
成员     10.0.0.96     cyberweb Windows Server 2016  135,139,445,3389,5985,47001等

渗透尝试

  1. 初始尝试:

    • 3389密码爆破未成功
    • 发现LDAP未授权但无有用信息

  2. 关键发现:

    • 域控存在ZeroLogin漏洞

ZeroLogin漏洞利用

  1. 利用工具:

    • 使用MSF进行漏洞利用

  2. Hash获取:

    • 导出域控hash
    • 使用hash登录获取flag

  3. 密码破解:

    • 成功爆破出密码: a5e3dd33465179d99f3e5d2144acaa6d:admin123@123

关键技术与工具总结

  1. 漏洞利用:

    • Log4j漏洞利用与高版本绕过
    • PostgreSQL数据库命令执行
    • 凡诺CMS文件上传漏洞
    • ZeroLogin域控漏洞

  2. 工具使用:

    • jndimap
    • Cobalt Strike
    • gost代理
    • MDUT/Navicat
    • 蚁剑
    • MSF

  3. 提权技术:

    • CVE-2021-40449
    • MS15-077

  4. 横向移动:

    • RDP利用
    • 密码抓取与重用
    • Hash传递攻击

防御建议

  1. 漏洞防护:

    • 及时更新Log4j等易受攻击组件
    • 修复已知CVE漏洞

  2. 权限控制:

    • 数据库最小权限原则
    • 禁用不必要的命令执行功能

  3. 域安全:

    • 修补ZeroLogin等域控漏洞
    • 实施强密码策略
    • 监控异常登录行为

  4. Web应用安全:

    • 严格文件上传验证
    • 修复已知CMS漏洞

  5. 日志监控:

    • 加强LDAP访问日志
    • 监控异常SQL查询
CyberStrikeLab-Windmill 渗透测试实战教学文档 靶场环境概述 本机IP: 172.16.233.2 靶场拓扑: 包含多个内网系统,最终目标是域环境渗透 Flag1 - Log4j漏洞利用 漏洞发现与利用 工具准备 : 使用jndimap工具进行Log4j漏洞检测 测试过程 : 发送POC数据包测试Java版本 发现是高版本Java,需要绕过限制 绕过与利用 : 使用绕过技术成功利用漏洞 设置监听等待反弹shell 后渗透操作 : 远程下载木马并执行 上线Cobalt Strike (CS) 提权并开启RDP 关闭远程连接验证 抓取密码发现远程登录凭证 Flag2 - PostgreSQL数据库渗透 内网扫描与发现 代理搭建 : 使用gost搭建代理隧道: gost.exe -L socsk://:8001 扫描发现 : 发现内网PostgreSQL数据库 凭证获取 : 通过抓取Navicat记录获取数据库密码: cslab@2025#qw 数据库利用 连接方式 : 使用MDUT或Navicat连接 命令执行 : 插入SQL语句执行系统命令 再次上线CS 提权操作 : 进行进程注入 使用CVE-2021-40449提权 抓取到系统账号 Flag3 - 凡诺CMS 2.1漏洞利用 漏洞发现 扫描发现 : 发现172.26.50.98运行凡诺CMS 2.1 漏洞分析 : 通过源码审计发现添加频道处存在文件上传漏洞 漏洞利用 上传Webshell : 添加频道并上传木马 利用IIS路径解析漏洞: 在文件名后添加 ./php 使webshell解析为PHP 后渗透操作 : 使用蚁剑连接获取flag 转发上线CS 使用MS15-077提权 开启RDP 抓取RDP密码发现域管理员凭证 Flag4 & 5 - 域渗透与ZeroLogin漏洞 内网信息收集 发现域环境 : 发现10.0.0.23(域控)和10.0.0.96两台主机 域名: cyberweb.cyberstrikelab.com 扫描结果 : 渗透尝试 初始尝试 : 3389密码爆破未成功 发现LDAP未授权但无有用信息 关键发现 : 域控存在ZeroLogin漏洞 ZeroLogin漏洞利用 利用工具 : 使用MSF进行漏洞利用 Hash获取 : 导出域控hash 使用hash登录获取flag 密码破解 : 成功爆破出密码: a5e3dd33465179d99f3e5d2144acaa6d:admin123@123 关键技术与工具总结 漏洞利用 : Log4j漏洞利用与高版本绕过 PostgreSQL数据库命令执行 凡诺CMS文件上传漏洞 ZeroLogin域控漏洞 工具使用 : jndimap Cobalt Strike gost代理 MDUT/Navicat 蚁剑 MSF 提权技术 : CVE-2021-40449 MS15-077 横向移动 : RDP利用 密码抓取与重用 Hash传递攻击 防御建议 漏洞防护 : 及时更新Log4j等易受攻击组件 修复已知CVE漏洞 权限控制 : 数据库最小权限原则 禁用不必要的命令执行功能 域安全 : 修补ZeroLogin等域控漏洞 实施强密码策略 监控异常登录行为 Web应用安全 : 严格文件上传验证 修复已知CMS漏洞 日志监控 : 加强LDAP访问日志 监控异常SQL查询