春秋云镜-Aoselu靶场渗透测试教学文档<\/h1>

靶场概述<\/h2>

2025春秋杯夏季赛云境靶场是一个综合性的渗透测试环境，包含外网打点、内网渗透、权限提升等多个环节。靶场主要考察以下技术点：<\/p>

反序列化漏洞利用（不出网环境）<\/li>
内存马注入技术<\/li>
多种提权方法（SUID、MySQL UDF、土豆提权等）<\/li>
内网信息收集与横向移动<\/li>

域环境渗透（WriteDACL+RBCD攻击）<\/li> <\/ul>

外网打点 - Flag01<\/h2>

反序列化漏洞利用<\/h3>

漏洞发现<\/strong>：<\/p>

目标系统在Email账号登录后返回的cookie字段userInfo<\/code>存在Java反序列化漏洞<\/li>
目标环境不出网，无法直接反弹shell<\/li> <\/ul> <\/li>
漏洞利用<\/strong>：<\/p> 使用CC链生成payload<\/li> 将cookie直接替换为payload发送请求<\/li> 实现RCE（远程代码执行）<\/li> <\/ul> <\/li> 内存马注入<\/strong>：<\/p> 在不出网环境下，可注入冰蝎内存马<\/li> 注意添加自定义请求头<\/li> <\/ul> <\/li> SUID提权<\/strong>：<\/p> 使用cve-2025-32463<\/code>进行提权<\/li> 命令示例：.\/exploit<\/code>（具体命令可能因环境而异）<\/li> 成功读取当前目录下的flag文件<\/li> <\/ul> <\/li> <\/ol> 内网渗透 - Flag02<\/h2> MySQL服务利用<\/h3> 信息收集<\/strong>：<\/p> 扫描发现MySQL端口开放<\/li> 通过反编译jar文件获取MySQL账号密码<\/li> 推荐使用IDEA进行反编译（比jd-gui更清晰）<\/li> <\/ul> <\/li> 权限提升<\/strong>：<\/p> 利用MySQL UDF提权<\/li> 上传木马到入口机的web服务<\/li> 注意：存放路径最好不要包含空格<\/li> <\/ul> <\/li> 土豆提权<\/strong>：<\/p> 尝试多种土豆提权工具<\/li> 最终使用godpotato<\/code>成功提权<\/li> <\/ul> <\/li> <\/ol> 内网横向移动 - Flag03<\/h2> RDP利用<\/h3> 远程桌面连接<\/strong>：<\/p> 通过RDP连接目标机器更方便操作<\/li> 确认是否进入域环境<\/li> <\/ul> <\/li> 信息收集<\/strong>：<\/p> 使用SharpHound<\/code>收集域信息（注意版本兼容性）<\/li> 尝试获取SVC_MOMADM01<\/code>的hash<\/li> <\/ul> <\/li> 密码获取方法<\/strong>：<\/p> 尝试Procdump+Mimikatz（可能失败）<\/li> 通过autologin配置获取EthanMorris<\/code>的凭证<\/li> 发现对ASLSRVFS02$<\/code>主机上的共享文件夹FileService<\/code>有读写权限<\/li> <\/ul> <\/li> SMB信息收集<\/strong>：<\/p> 确认172.16.34.23的用户属于ITgroup<\/li> 获取svc_bakadm01<\/code>等账户凭证<\/li> <\/ul> <\/li> <\/ol> 域渗透 - Flag04<\/h2> 注册表提权<\/h3> SeBackupPrivilege利用<\/strong>：<\/p> 导出注册表： reg save HKLM\SYSTEM sys.hiv reg save HKLM\SAM sam.hiv <\/code><\/pre> <\/li> 使用Mimikatz解析hash： lsadump::sam \/SAM:sam.hiv \/SYSTEM:sys.hiv <\/code><\/pre> <\/li> <\/ul> <\/li> Pass-the-Hash攻击<\/strong>：<\/p> 获取02管理员的hash<\/li> 使用hash进行横向移动<\/li> <\/ul> <\/li> <\/ol> WriteDACL+RBCD攻击<\/h3> 添加恶意主机<\/strong>：<\/p> 使用PowerShell执行（CMD可能因编码问题失败）<\/li> 修改目标的DACL，添加指定用户的完全控制权限<\/li> <\/ul> <\/li> Kerberos问题解决<\/strong>：<\/p> 遇到KRB_AP_ERR_SKEW<\/code>错误（时钟不同步）<\/li> 域控时间同步方法： ntpdate <域控IP> <\/code><\/pre> <\/li> <\/ul> <\/li> 票据请求与导入<\/strong>：<\/p> 使用Rubeus请求票据<\/li> 将.kirbi票据转换为impacket支持的.ccache格式<\/li> 导入票据进行攻击<\/li> <\/ul> <\/li> 替代方法<\/strong>：<\/p> 使用IPC$共享管道进行访问<\/li> 可能需要搭建多层代理（如stowaway）<\/li> <\/ul> <\/li> <\/ol> 技术总结<\/h2> 关键知识点<\/h3> 不出网环境下的利用<\/strong>：<\/p> 内存马注入<\/li> 正向连接技术<\/li> <\/ul> <\/li> 提权方法<\/strong>：<\/p> SUID提权<\/li> MySQL UDF提权<\/li> 土豆提权（多种变体）<\/li> 注册表提权<\/li> <\/ul> <\/li> 域渗透技术<\/strong>：<\/p> WriteDACL攻击<\/li> RBCD（基于资源的约束委派）攻击<\/li> DCSync攻击<\/li> <\/ul> <\/li> 信息收集路线<\/strong>：<\/p> Dump hash<\/li> Fscan扫描<\/li> Winlogin凭证获取<\/li> RDP凭证获取<\/li> 配置文件检查（浏览器密码、远控客户端密码等）<\/li> <\/ol> <\/li> <\/ol> 实战经验<\/h3> 多层代理环境下可能需要特定工具（如stowaway）<\/li> 时间同步问题会影响Kerberos攻击<\/li> 多种提权方法需要尝试，不同环境可能适用不同工具<\/li> 信息收集要全面，包括配置文件、共享文件夹等<\/li> <\/ul> 附录：常用工具列表<\/h2> 反序列化利用：ysoserial<\/li> 内存马：冰蝎内存马<\/li> 提权工具： godpotato<\/li> cve-2025-32463 exploit<\/li> <\/ul> <\/li> 信息收集： SharpHound<\/li> Mimikatz<\/li> Procdump<\/li> <\/ul> <\/li> 域渗透： Rubeus<\/li> Impacket套件<\/li> <\/ul> <\/li> 扫描工具：fscan<\/li> <\/ol> 通过本靶场的练习，可以全面掌握从外网打点到内网域渗透的完整攻击链，特别是不出网环境下的各种绕过技术和多种提权方法。<\/p>