春秋云镜-Aoselu靶场渗透测试教学文档

靶场概述

2025春秋杯夏季赛云境靶场是一个综合性的渗透测试环境，包含外网打点、内网渗透、权限提升等多个环节。靶场主要考察以下技术点：

反序列化漏洞利用（不出网环境）
内存马注入技术
多种提权方法（SUID、MySQL UDF、土豆提权等）
内网信息收集与横向移动
域环境渗透（WriteDACL+RBCD攻击）

外网打点 - Flag01

反序列化漏洞利用

漏洞发现：
- 目标系统在Email账号登录后返回的cookie字段userInfo存在Java反序列化漏洞
- 目标环境不出网，无法直接反弹shell
漏洞利用：
- 使用CC链生成payload
- 将cookie直接替换为payload发送请求
- 实现RCE（远程代码执行）
内存马注入：
- 在不出网环境下，可注入冰蝎内存马
- 注意添加自定义请求头
SUID提权：
- 使用cve-2025-32463进行提权
- 命令示例：./exploit（具体命令可能因环境而异）
- 成功读取当前目录下的flag文件

内网渗透 - Flag02

MySQL服务利用

信息收集：
- 扫描发现MySQL端口开放
- 通过反编译jar文件获取MySQL账号密码
- 推荐使用IDEA进行反编译（比jd-gui更清晰）
权限提升：
- 利用MySQL UDF提权
- 上传木马到入口机的web服务
- 注意：存放路径最好不要包含空格
土豆提权：
- 尝试多种土豆提权工具
- 最终使用godpotato成功提权

内网横向移动 - Flag03

RDP利用

远程桌面连接：
- 通过RDP连接目标机器更方便操作
- 确认是否进入域环境
信息收集：
- 使用SharpHound收集域信息（注意版本兼容性）
- 尝试获取SVC_MOMADM01的hash
密码获取方法：
- 尝试Procdump+Mimikatz（可能失败）
- 通过autologin配置获取EthanMorris的凭证
- 发现对ASLSRVFS02$主机上的共享文件夹FileService有读写权限
SMB信息收集：
- 确认172.16.34.23的用户属于ITgroup
- 获取svc_bakadm01等账户凭证

域渗透 - Flag04

注册表提权

SeBackupPrivilege利用：

导出注册表：

reg save HKLM\SYSTEM sys.hiv
reg save HKLM\SAM sam.hiv

使用Mimikatz解析hash：

lsadump::sam /SAM:sam.hiv /SYSTEM:sys.hiv

Pass-the-Hash攻击：
- 获取02管理员的hash
- 使用hash进行横向移动

WriteDACL+RBCD攻击

添加恶意主机：
- 使用PowerShell执行（CMD可能因编码问题失败）
- 修改目标的DACL，添加指定用户的完全控制权限
Kerberos问题解决：
- 遇到KRB_AP_ERR_SKEW错误（时钟不同步）
- 域控时间同步方法：
```
ntpdate <域控IP>
```
票据请求与导入：
- 使用Rubeus请求票据
- 将.kirbi票据转换为impacket支持的.ccache格式
- 导入票据进行攻击
替代方法：
- 使用IPC$共享管道进行访问
- 可能需要搭建多层代理（如stowaway）

技术总结

关键知识点

不出网环境下的利用：
- 内存马注入
- 正向连接技术
提权方法：
- SUID提权
- MySQL UDF提权
- 土豆提权（多种变体）
- 注册表提权
域渗透技术：
- WriteDACL攻击
- RBCD（基于资源的约束委派）攻击
- DCSync攻击
信息收集路线：
1. Dump hash
2. Fscan扫描
3. Winlogin凭证获取
4. RDP凭证获取
5. 配置文件检查（浏览器密码、远控客户端密码等）

实战经验

多层代理环境下可能需要特定工具（如stowaway）
时间同步问题会影响Kerberos攻击
多种提权方法需要尝试，不同环境可能适用不同工具
信息收集要全面，包括配置文件、共享文件夹等

附录：常用工具列表

反序列化利用：ysoserial
内存马：冰蝎内存马
提权工具：
- godpotato
- cve-2025-32463 exploit
信息收集：
- SharpHound
- Mimikatz
- Procdump
域渗透：
- Rubeus
- Impacket套件
扫描工具：fscan

通过本靶场的练习，可以全面掌握从外网打点到内网域渗透的完整攻击链，特别是不出网环境下的各种绕过技术和多种提权方法。

春秋云镜-Aoselu靶场渗透测试教学文档靶场概述 2025春秋杯夏季赛云境靶场是一个综合性的渗透测试环境，包含外网打点、内网渗透、权限提升等多个环节。靶场主要考察以下技术点：反序列化漏洞利用（不出网环境）内存马注入技术多种提权方法（SUID、MySQL UDF、土豆提权等）内网信息收集与横向移动域环境渗透（WriteDACL+RBCD攻击）外网打点 - Flag01 反序列化漏洞利用漏洞发现：目标系统在Email账号登录后返回的cookie字段 userInfo 存在Java反序列化漏洞目标环境不出网，无法直接反弹shell 漏洞利用：使用CC链生成payload 将cookie直接替换为payload发送请求实现RCE（远程代码执行）内存马注入：在不出网环境下，可注入冰蝎内存马注意添加自定义请求头 SUID提权：使用 cve-2025-32463 进行提权命令示例： ./exploit （具体命令可能因环境而异）成功读取当前目录下的flag文件内网渗透 - Flag02 MySQL服务利用信息收集：扫描发现MySQL端口开放通过反编译jar文件获取MySQL账号密码推荐使用IDEA进行反编译（比jd-gui更清晰）权限提升：利用MySQL UDF提权上传木马到入口机的web服务注意：存放路径最好不要包含空格土豆提权：尝试多种土豆提权工具最终使用 godpotato 成功提权内网横向移动 - Flag03 RDP利用远程桌面连接：通过RDP连接目标机器更方便操作确认是否进入域环境信息收集：使用 SharpHound 收集域信息（注意版本兼容性）尝试获取 SVC_MOMADM01 的hash 密码获取方法：尝试Procdump+Mimikatz（可能失败）通过autologin配置获取 EthanMorris 的凭证发现对 ASLSRVFS02$ 主机上的共享文件夹 FileService 有读写权限 SMB信息收集：确认172.16.34.23的用户属于ITgroup 获取 svc_bakadm01 等账户凭证域渗透 - Flag04 注册表提权 SeBackupPrivilege利用：导出注册表：使用Mimikatz解析hash： Pass-the-Hash攻击：获取02管理员的hash 使用hash进行横向移动 WriteDACL+RBCD攻击添加恶意主机：使用PowerShell执行（CMD可能因编码问题失败）修改目标的DACL，添加指定用户的完全控制权限 Kerberos问题解决：遇到 KRB_AP_ERR_SKEW 错误（时钟不同步）域控时间同步方法：票据请求与导入：使用Rubeus请求票据将.kirbi票据转换为impacket支持的.ccache格式导入票据进行攻击替代方法：使用IPC$共享管道进行访问可能需要搭建多层代理（如stowaway）技术总结关键知识点不出网环境下的利用：内存马注入正向连接技术提权方法： SUID提权 MySQL UDF提权土豆提权（多种变体）注册表提权域渗透技术： WriteDACL攻击 RBCD（基于资源的约束委派）攻击 DCSync攻击信息收集路线： Dump hash Fscan扫描 Winlogin凭证获取 RDP凭证获取配置文件检查（浏览器密码、远控客户端密码等）实战经验多层代理环境下可能需要特定工具（如stowaway）时间同步问题会影响Kerberos攻击多种提权方法需要尝试，不同环境可能适用不同工具信息收集要全面，包括配置文件、共享文件夹等附录：常用工具列表反序列化利用：ysoserial 内存马：冰蝎内存马提权工具： godpotato cve-2025-32463 exploit 信息收集： SharpHound Mimikatz Procdump 域渗透： Rubeus Impacket套件扫描工具：fscan 通过本靶场的练习，可以全面掌握从外网打点到内网域渗透的完整攻击链，特别是不出网环境下的各种绕过技术和多种提权方法。