CyberStrikeLab-Shadow 靶场渗透测试实战教学<\/h1>

靶场概述<\/h2>
CyberStrikeLab-Shadow 是一个综合性的渗透测试靶场，包含多个攻击路径和多种技术点。本教学文档将详细解析靶场中的渗透过程，涵盖从外网打点到内网横向移动的全流程。<\/p>

信息收集与初始访问<\/h2>

FLAG 1 获取<\/h3>

版本信息收集<\/strong>：发现目标系统版本号为 2.24.2<\/li>

漏洞利用<\/strong>：

测试发现目标可反连（反弹连接）<\/li>
尝试内存马注入，但命令执行受限<\/li>
改用哥斯拉内存马（Godzilla WebShell）<\/li> <\/ul> <\/li>
权限提升<\/strong>：

发现当前用户具有特权<\/li>
使用特权Potato提权（可能是RottenPotato\/JuicyPotato等变种）<\/li> <\/ul> <\/li>
持久化访问<\/strong>：

添加用户并开启RDP<\/li>
注意杀软可能拦截注册表修改<\/li>
通过将命令写入1.bat文件规避引号闭合问题<\/li> <\/ul> <\/li> <\/ol>
内网横向移动<\/h2>
跳板机渗透<\/h3>

内网信息收集工具<\/strong>：

Mimikatz：提取凭证<\/li>
Fscan：内网扫描<\/li>
Winlogon检查：寻找保存的凭证<\/li> <\/ul> <\/li>
发现凭证<\/strong>：

在systemprofile目录发现可用凭证<\/li> <\/ul> <\/li>
内网穿透<\/strong>：

使用ligolo-ng进行内网穿透<\/li> <\/ul> <\/li> <\/ol>
phpMyAdmin攻击 (FLAG 2 & FLAG 3)<\/h3>

目标发现<\/strong>：

跳板机IP: 10.0.0.50<\/li>
目录扫描仅发现phpMyAdmin<\/li> <\/ul> <\/li>
弱口令攻击<\/strong>：

成功使用root:cslab登录<\/li> <\/ul> <\/li>
写Shell尝试<\/strong>：

直接写文件返回NULL（不可写）<\/li>
改用全局日志写Shell技术：

MySQL版本>5.0<\/li>
需写入到可访问目录（C:\phpstudy_pro\WWW\）<\/li>
开启general_log模式<\/li>
修改log_file路径<\/li> <\/ul> <\/li> <\/ul> <\/li>
绕过限制<\/strong>：

初始WebShell不可用<\/li>
生成免杀蚁剑WebShell<\/li>
最终使用特定格式的WebShell成功：
<?=<\/span> `command`<\/span> ?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 考虑下载免杀哥斯拉WebShell<\/li> <\/ul> <\/li> FLAG获取<\/strong>：通过端口转发或RDP连接<\/li> 在网络驱动器发现flag.txt（FLAG 2）<\/li> 在C:\Program Files\Windows NT目录发现flag.txt（FLAG 3）<\/li> <\/ul> <\/li> <\/ol> NFS服务器攻击 (10.10.10.42)<\/h3> 漏洞利用<\/strong>：存在任意文件读取漏洞<\/li> 无Web界面，直接读取注册表获取HASH<\/li> <\/ul> <\/li> 权限提升尝试<\/strong>：添加用户并配置RDP<\/li> 目标为单网卡系统<\/li> 收集到Administrator的NT-HASH<\/li> <\/ul> <\/li> <\/ol> 域渗透 (10.10.10.66 - FLAG 4)<\/h3> 密码重用攻击<\/strong>：全端口扫描<\/li> 使用收集的密码Wh1teSu<\/li> 在phpmyadmin机器上通过Everything搜索到密码<\/li> <\/ul> <\/li> RDP连接<\/strong>：直接通过RDP登录目标<\/li> <\/ul> <\/li> <\/ol> ADCS攻击 (10.10.10.5 - FLAG 5)<\/h3> ADCS漏洞扫描<\/strong>：发现存在ADCS（Active Directory证书服务）<\/li> ESC 8条件不符（ADCS和DC不在同一台机器）<\/li> 适用ESC 6漏洞（需要User证书）<\/li> <\/ul> <\/li> 凭证获取<\/strong>：域中仅有cslab用户<\/li> 通过特殊位置找到cslab凭证<\/li> <\/ul> <\/li> 证书申请<\/strong>：使用PowerView读取域控Administrator的SID<\/li> 尝试申请证书<\/li> 遇到Kerberos错误（KDC_ERROR_CLIENT_NOT_TRUSTED）<\/li> <\/ul> <\/li> 环境修复后攻击<\/strong>：域名变更为cyberstrikelab.com<\/li> 添加DNS记录到\/etc\/hosts<\/li> 成功请求证书<\/li> 使用Pass-the-Hash(PTH)技术<\/li> <\/ul> <\/li> <\/ol> 关键技术总结<\/h2> Web应用渗透<\/strong>：<\/p> phpMyAdmin弱口令攻击<\/li> MySQL日志写Shell技术<\/li> WebShell免杀技术<\/li> <\/ul> <\/li> 权限提升<\/strong>：<\/p> Potato系列提权工具<\/li> 注册表修改绕过杀软<\/li> <\/ul> <\/li> 内网横向移动<\/strong>：<\/p> 凭证重用攻击<\/li> Ligolo-ng内网穿透<\/li> Pass-the-Hash攻击<\/li> <\/ul> <\/li> 域渗透<\/strong>：<\/p> ADCS漏洞利用（ESC 6）<\/li> PowerView信息收集<\/li> 证书请求攻击<\/li> <\/ul> <\/li> 规避技巧<\/strong>：<\/p> 批处理文件规避引号问题<\/li> URL编码绕过限制<\/li> 短标签WebShell规避换行问题<\/li> <\/ul> <\/li> <\/ol> 注意事项<\/h2> 环境问题可能导致某些攻击路径不可用，需要灵活调整<\/li> 引号闭合问题可通过文件写入方式规避<\/li> WebShell写入时注意换行问题，使用<?=短标签更可靠<\/li> 内网渗透时注意收集和整理所有发现的凭证<\/li> ADCS攻击需要特定条件，需仔细验证环境配置<\/li> <\/ol>

CyberStrikeLab-Shadow 靶场渗透测试实战教学<\/h1>

靶场概述<\/h2> CyberStrikeLab-Shadow 是一个综合性的渗透测试靶场，包含多个攻击路径和多种技术点。本教学文档将详细解析靶场中的渗透过程，涵盖从外网打点到内网横向移动的全流程。<\/p>

信息收集与初始访问<\/h2>

内网横向移动<\/h2>

靶场概述<\/h2>
CyberStrikeLab-Shadow 是一个综合性的渗透测试靶场，包含多个攻击路径和多种技术点。本教学文档将详细解析靶场中的渗透过程，涵盖从外网打点到内网横向移动的全流程。<\/p>