声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！

0x01 前言

本靶场环境是李白安全团队Jerry搭建，并讲授给星球内部成员。星球会有不定时的技术直播课、送书活动和内部交流群，欢迎师傅们前来学习。靶场环境搭建模仿真实企业环境，也是攻防演练中出现的典型的场景值得学习！！！

接上文从WEB打点到内网域控Flag1【星球内部直播课WP】，下面是Flag2345的解法。

0x02 Flag2

192.168.86.130 主机开放6379端口redis服务，尝试未授权访问

权限不够，无法写入公钥

尝试写计划任务也失败

尝试爆破ssh弱口令

Ssh连接成功

没有权限查看flag2，需要提权

CVE-2021-3156提权：

在/tmp目录上传提权文件

Make编译后运行即可获得root权限

查看flag2

0x03 Flag3

访问192.168.86.129

使用通达oa综合利用工具

成功连入webshell

查找到flag3

生成中转木马

上传木马至通达oa主机

运行后cs上线

0x04 Flag4

回到通达OA机器192.168.86.129 ， 端口扫描发现3台主机

net user /do 发现存在域环境

Mimikatz抓取密码

抓到域管理员曾经登录的账号密码

扫描新的网段，定位域控ip

Win7OA机器开启中转监听

在target中使用psexec上线域控

域控上线成功

在桌面发现flag4

攻击线路如下

0x05 Flag5

在win7OA机器上挂一个socks代理,访问192.168.52.33主机的80端口

发现是个门禁管理系统，web界面无从下手，前往百度搜索相关文档

发现使用手册，存在默认口令

1433直接连入mssql

数据库中发现flag5

0x06 攻击路线图

至此，该靶场的解法已结束，以下是攻击路线图。

0x06 往期精彩

从WEB打点到内网域控Flag1【星球内部直播课WP】

记一次基于 Django 的传销站点渗透

原文始发于微信公众号（李白你好）：从WEB打点到内网域控Flag2、3、4、5