CyberStrikeLab-Shadow 靶场渗透测试实战教学

靶场概述

CyberStrikeLab-Shadow 是一个综合性的渗透测试靶场，包含多个攻击路径和多种技术点。本教学文档将详细解析靶场中的渗透过程，涵盖从外网打点到内网横向移动的全流程。

信息收集与初始访问

FLAG 1 获取

版本信息收集：发现目标系统版本号为 2.24.2
漏洞利用：
- 测试发现目标可反连（反弹连接）
- 尝试内存马注入，但命令执行受限
- 改用哥斯拉内存马（Godzilla WebShell）
权限提升：
- 发现当前用户具有特权
- 使用特权Potato提权（可能是RottenPotato/JuicyPotato等变种）
持久化访问：
- 添加用户并开启RDP
- 注意杀软可能拦截注册表修改
- 通过将命令写入1.bat文件规避引号闭合问题

内网横向移动

跳板机渗透

内网信息收集工具：
- Mimikatz：提取凭证
- Fscan：内网扫描
- Winlogon检查：寻找保存的凭证
发现凭证：
- 在systemprofile目录发现可用凭证
内网穿透：
- 使用ligolo-ng进行内网穿透

phpMyAdmin攻击 (FLAG 2 & FLAG 3)

目标发现：
- 跳板机IP: 10.0.0.50
- 目录扫描仅发现phpMyAdmin
弱口令攻击：
- 成功使用root:cslab登录
写Shell尝试：
- 直接写文件返回NULL（不可写）
- 改用全局日志写Shell技术：
  - MySQL版本>5.0
  - 需写入到可访问目录（C:\phpstudy_pro\WWW\）
  - 开启general_log模式
  - 修改log_file路径
绕过限制：
- 初始WebShell不可用
- 生成免杀蚁剑WebShell
- 最终使用特定格式的WebShell成功：
```
<?= `command` ?>
```
- 考虑下载免杀哥斯拉WebShell
FLAG获取：
- 通过端口转发或RDP连接
- 在网络驱动器发现flag.txt（FLAG 2）
- 在C:\Program Files\Windows NT目录发现flag.txt（FLAG 3）

NFS服务器攻击 (10.10.10.42)

漏洞利用：
- 存在任意文件读取漏洞
- 无Web界面，直接读取注册表获取HASH
权限提升尝试：
- 添加用户并配置RDP
- 目标为单网卡系统
- 收集到Administrator的NT-HASH

域渗透 (10.10.10.66 - FLAG 4)

密码重用攻击：
- 全端口扫描
- 使用收集的密码Wh1teSu
- 在phpmyadmin机器上通过Everything搜索到密码
RDP连接：
- 直接通过RDP登录目标

ADCS攻击 (10.10.10.5 - FLAG 5)

ADCS漏洞扫描：
- 发现存在ADCS（Active Directory证书服务）
- ESC 8条件不符（ADCS和DC不在同一台机器）
- 适用ESC 6漏洞（需要User证书）
凭证获取：
- 域中仅有cslab用户
- 通过特殊位置找到cslab凭证
证书申请：
- 使用PowerView读取域控Administrator的SID
- 尝试申请证书
- 遇到Kerberos错误（KDC_ERROR_CLIENT_NOT_TRUSTED）
环境修复后攻击：
- 域名变更为cyberstrikelab.com
- 添加DNS记录到/etc/hosts
- 成功请求证书
- 使用Pass-the-Hash(PTH)技术

关键技术总结

Web应用渗透：
- phpMyAdmin弱口令攻击
- MySQL日志写Shell技术
- WebShell免杀技术
权限提升：
- Potato系列提权工具
- 注册表修改绕过杀软
内网横向移动：
- 凭证重用攻击
- Ligolo-ng内网穿透
- Pass-the-Hash攻击
域渗透：
- ADCS漏洞利用（ESC 6）
- PowerView信息收集
- 证书请求攻击
规避技巧：
- 批处理文件规避引号问题
- URL编码绕过限制
- 短标签WebShell规避换行问题

注意事项

环境问题可能导致某些攻击路径不可用，需要灵活调整
引号闭合问题可通过文件写入方式规避
WebShell写入时注意换行问题，使用<?=短标签更可靠
内网渗透时注意收集和整理所有发现的凭证
ADCS攻击需要特定条件，需仔细验证环境配置

CyberStrikeLab-Shadow 靶场渗透测试实战教学靶场概述 CyberStrikeLab-Shadow 是一个综合性的渗透测试靶场，包含多个攻击路径和多种技术点。本教学文档将详细解析靶场中的渗透过程，涵盖从外网打点到内网横向移动的全流程。信息收集与初始访问 FLAG 1 获取版本信息收集：发现目标系统版本号为 2.24.2 漏洞利用：测试发现目标可反连（反弹连接）尝试内存马注入，但命令执行受限改用哥斯拉内存马（Godzilla WebShell）权限提升：发现当前用户具有特权使用特权Potato提权（可能是RottenPotato/JuicyPotato等变种）持久化访问：添加用户并开启RDP 注意杀软可能拦截注册表修改通过将命令写入1.bat文件规避引号闭合问题内网横向移动跳板机渗透内网信息收集工具： Mimikatz：提取凭证 Fscan：内网扫描 Winlogon检查：寻找保存的凭证发现凭证：在systemprofile目录发现可用凭证内网穿透：使用ligolo-ng进行内网穿透 phpMyAdmin攻击 (FLAG 2 & FLAG 3) 目标发现：跳板机IP: 10.0.0.50 目录扫描仅发现phpMyAdmin 弱口令攻击：成功使用root:cslab登录写Shell尝试：直接写文件返回NULL（不可写）改用全局日志写Shell技术： MySQL版本>5.0 需写入到可访问目录（C:\phpstudy_ pro\WWW\）开启general_ log模式修改log_ file路径绕过限制：初始WebShell不可用生成免杀蚁剑WebShell 最终使用特定格式的WebShell成功：考虑下载免杀哥斯拉WebShell FLAG获取：通过端口转发或RDP连接在网络驱动器发现flag.txt（FLAG 2）在C:\Program Files\Windows NT目录发现flag.txt（FLAG 3） NFS服务器攻击 (10.10.10.42) 漏洞利用：存在任意文件读取漏洞无Web界面，直接读取注册表获取HASH 权限提升尝试：添加用户并配置RDP 目标为单网卡系统收集到Administrator的NT-HASH 域渗透 (10.10.10.66 - FLAG 4) 密码重用攻击：全端口扫描使用收集的密码Wh1teSu 在phpmyadmin机器上通过Everything搜索到密码 RDP连接：直接通过RDP登录目标 ADCS攻击 (10.10.10.5 - FLAG 5) ADCS漏洞扫描：发现存在ADCS（Active Directory证书服务） ESC 8条件不符（ADCS和DC不在同一台机器）适用ESC 6漏洞（需要User证书）凭证获取：域中仅有cslab用户通过特殊位置找到cslab凭证证书申请：使用PowerView读取域控Administrator的SID 尝试申请证书遇到Kerberos错误（KDC_ ERROR_ CLIENT_ NOT_ TRUSTED）环境修复后攻击：域名变更为cyberstrikelab.com 添加DNS记录到/etc/hosts 成功请求证书使用Pass-the-Hash(PTH)技术关键技术总结 Web应用渗透： phpMyAdmin弱口令攻击 MySQL日志写Shell技术 WebShell免杀技术权限提升： Potato系列提权工具注册表修改绕过杀软内网横向移动：凭证重用攻击 Ligolo-ng内网穿透 Pass-the-Hash攻击域渗透： ADCS漏洞利用（ESC 6） PowerView信息收集证书请求攻击规避技巧：批处理文件规避引号问题 URL编码绕过限制短标签WebShell规避换行问题注意事项环境问题可能导致某些攻击路径不可用，需要灵活调整引号闭合问题可通过文件写入方式规避 WebShell写入时注意换行问题，使用 <?=短标签更可靠内网渗透时注意收集和整理所有发现的凭证 ADCS攻击需要特定条件，需仔细验证环境配置