域渗透靶场学习：VulnStack7 攻击过程详解

0x01 环境准备

VulnStack7是红日安全团队推出的ATT&CK靶场，采用三层网络架构：

• 原始拓扑包含三层网络
• 实际使用中调整为二层Docker环境
• 在PC1和PC2上安装了某安全软件增加难度

0x02 涉及知识点

1. 信息收集技术
2. Laravel Debug模式RCE漏洞(CVE-2021-3129)
3. Docker逃逸技术
4. Linux环境变量提权
5. 路由转发与代理技术
6. CobaltStrike利用
7. 内网横向移动技术
8. 杀软绕过技术

0x03 入口突破

初始信息收集

nmap -T4 -sC -sV 192.168.52.20

发现开放端口：

• 22(SSH)
• 8000(HTTP)

Laravel RCE漏洞利用

• 目标系统：Laravel <= v8.4.2
• 漏洞：Debug模式远程代码执行(CVE-2021-3129)
• 利用POC验证漏洞存在
• 使用一键化工具写入Webshell
• 使用蚁剑连接获取初始访问

环境识别

发现系统信息：

Linux 8e172820ac78 4.4.0-142-generic #168~14.04.1-Ubuntu SMP Sat Jan 19 11:26:28 UTC 2019 x86_64

确认Docker环境方法：

1. 检查根目录下.dockerenv文件
2. 查询系统进程的cgroup信息

0x04 Docker逃逸

权限提升

1. 查找SUID提权机会：

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;

2. 发现存在特殊shell程序
3. 使用路径劫持方法获取root shell

特权模式逃逸

1. 确认容器以特权模式运行
2. 查看设备文件：ls /dev
3. 挂载宿主机磁盘：

mkdir /abc
mount /dev/sda1 /abc

4. 通过/abc路径访问宿主机文件系统
5. 写入计划任务或直接获取密码文件

网络发现

发现两个网段：

• 192.168.93.0/24
• 192.168.52.0/24

0x05 内网横向

存活主机探测

for k in $( seq 1 255);do ping -c 1 192.168.99.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done

代理建立

使用sockets代理进入内网

OA系统攻击

1. 发现192.168.52.30开放8082端口(OA系统)
2. 伪造session登录后台
3. 通过附件上传功能获取Webshell：
   • 组织-管理员-附件上传-txt
   • 抓包修改扩展名(txt→php)
4. 使用蚁剑连接

绕过杀软

1. 发现命令执行被拦截
2. 使用自定义终端绕过限制
3. 通过PowerShell上线CobaltStrike

凭证获取

1. 提权操作
2. 抓取密码
3. 发现域管理员凭据(因OA系统使用域管理员启动)

0x06 获取域控

域内信息收集

net view

发现域控制器(DC)

横向移动

1. 使用获取的域管凭据尝试横向
2. 初始尝试失败(防火墙阻挡)
3. 关闭目标防火墙后成功：

net use \\目标IP\C$ "密码" /user:"域\域管理员"

4. 复制免杀马到目标
5. 获取会话

最终成果

1. 完全控制域环境
2. 导出信息供后续学习

关键技巧总结

1. 漏洞利用：快速识别和利用Laravel RCE漏洞获取初始访问
2. 权限提升：通过SUID和环境变量劫持实现权限提升
3. Docker逃逸：利用特权模式挂载宿主机磁盘
4. 内网代理：建立稳定代理通道进行内网探测
5. 杀软绕过：使用自定义终端和执行方式绕过检测
6. 凭证利用：充分利用获取的域管理员凭据
7. 防火墙绕过：通过关闭防护措施实现最终横向移动

此过程展示了从外网突破到内网横向再到域控获取的完整攻击链，涵盖了现代红队评估中的多项关键技术。