最近真太忙了，又是论文又是PPT的，文章都没空写，项目中遇到的一些好玩的抽象的都没空写，很快有空了再写吧。今天先水一篇好久之前打的靶场，各位先凑合着看

靶场地址：

https://www.cyberstrikelab.com/#/target/kvm_detail/261

开启靶机：

这个界面有点眼熟啊...

果然SeaCMS，记得前段时间还有爆出CVE，但是礼貌起见，信息收集的流程还是要走一走。

信息收集

Nmap：

Dirsearch：

看到有phpmyadmin，弱口令失败；根据对海洋cms进行搜索，对历代漏洞进行翻阅，但是苦恼于无法找到后台

漏洞利用

后面翻到了有前台未授权SQL注入：

直接开嗦：

丢SQLmap跑：

太好啦，是时间盲注！（捂脸笑

看当前用户：

本来看到跑出了root还以为能省点事了，结果居然不是dba，还是老老实实翻库吧

跑当前库：

看表：

看到admin的表了，直接CTRL+C中断；

看字段名：

看到账户名和密码了；

dump：

看到这种像是md5，但是长度不足32位的不用慌，有可能是截取的md5值，直接丢去解密：

试了好几个，只有cmd5解出来了，老牌md5解密网站就是🐂🍺

但是又回到那个问题了，后台路径是啥呢...

后面我灵光一现：你说这账户密码都是cslab，那后台路径该不会...

md还真是！直接爽爽登陆；

可以看到是v12.9，一开始就看到有很多后台RCE漏洞，随便找一个：

这个漏洞甚至都不是v12.9版本被发现的，是更早的CNVD-2020-22721，居然也能用也是神了

甚至cookie都没设置都能连上，好好好

在C盘根目录下发现flag.txt

Root提权

既然flag2是需要管理员的密码哈希，那肯定要提权到至少是administrator，当然system是更好，那么！Cobalt Strike，启动！

我比较喜欢powershell上线CS，所以直接生成了powershell命令：

全部复制下来，放到蚁剑的虚拟终端里：

成功上线；

接下来用插件进行提权，这里使用了JuicyPotato成功提权了：

直接hashdump即可得到管理员的密码哈希~

总结

SeaCMS v12.9的未授权SQL注入与后台RCE（CNVD-2020-22721）组合拳getshell，powershell上线CS，JuicyPotato（MS16-075）实现提权，还是比较适合新手入门的一个靶场；就是vpn有点不太稳定，经常容易掉，写笔记的话需要边做边写，不然会容易变得不幸（垃圾OpenVPN🚮

师傅们点点关注呀，之后多多实战案例分享~

原文始发于微信公众号（咸苹果学安全）：CyberStrikeLab靶场日记——PT-1