CyberStrikeLab-Windmill（全网首发）-先知社区

历史记录

清空历史记录

相关的动态
相关的文章
相关的用户
相关的圈子
相关的话题

注册登录

CyberStrikeLab-Windmill（全网首发）

1404298252030661 发表于四川渗透测试 506浏览 · 2025-07-02 08:25

本机：172.16.233.2

整个靶场拓扑如下

图片加载失败

flag1-log4j

使用的工具是jndimap

图片加载失败

发送poc数据包测试java版本

图片加载失败

发现是java高版本，那我们绕过一下，然后反弹shell

监听，等shell传过来

图片加载失败

远程下载木马，执行后上线cs，提权开rdp

关闭远程连接验证

图片加载失败

抓取一下密码，发现一个远程登录的密码

使用gost搭建代理隧道

gost.exe -L socsk://:8001

对内网进行扫描发现一个pg数据库，通过抓取navicate的记录抓到数据库密码，

flag2-postgress数据库

用mdut连接或者直接用navicate

图片加载失败

pg数据库 cslab@2025#qw

使用navicate连接后插入sql语句,执行sql语句执行系统命令，继续上线cs

上线cs后,先进程注入，然后使用CVE-2021-40449提权

图片加载失败

抓取到了一个账号

图片加载失败

也顺利拿下第二个flag，但是提交的时候是第三个

flag3-凡诺cms2.1

继续扫描发现172.26.50.98有cms

图片加载失败

网上搜索源码审计后发现在添加频道那里有文件上传漏洞

添加频道，上传木马

poc:

图片加载失败

这里要把上传的webshell解析成php需要在后面加

./php

,这是iis的一个路径解析漏洞

蚁剑连接拿到一个flag

图片加载失败

转发上线cs呢，然后提权(MS15-077)，开rdp正常套路

图片加载失败

图片加载失败

抓rdp密码,发现域管理员密码

重置一下密码登录数据库查看一下,没啥用

图片加载失败

flag4-5-zerologin

内网信息收集

发现10.0.0.23(域控)和10.0.0.96两台主机，发现域名cyberweb.cyberstrikelab.com

继续发现96开放了3389

域渗透

域信息收集

根据前面fscan扫描的结果，可以知道的信息如下

主机 IP	主机名	系统版本	开放服务
10.0.0.23	DC	Windows Server 2016	53, 88, 135, 139, 389, 445, 464, 593, 636, 3268, 3269, 9389, 47001, 5985 等
10.0.0.96	cyberweb	Windows Server 2016	135, 139, 445, 3389, 5985, 47001 等

域名：cyberstrikelab.com

尝试用密码爆破过3389无果，发现ldap未授权，登录后没有可以获取的信息。

经过千辛万苦的信息收集，发现域控存在zerologin

下面是使用msf利用过程

导出hash

s使用hash登录拿到flag,当然另一台也可以用hash登录,flag也能拿到

感觉这个是非预期的解，也尝试过爆破域内用户名等手段。

通过导出的hash我们也爆破出了密码

a5e3dd33465179d99f3e5d2144acaa6d:admin123@123

当时rdp爆破没有这个密码，所以才搞了zerologin

0 人收藏 0 人喜欢

分享

0 条评论

某人

表情

热门文章

优秀作者

目录

flag1-log4j
flag2-postgress数据库
flag3-凡诺cms2.1
flag4-5-zerologin
- 域渗透
- 域信息收集

先知社区